ZLABS’deki araştırmacılar, taktiklerini Avrupa’daki şüpheli olmayan kullanıcıları sömürmek için kaydıran hızla gelişen bir kötü amaçlı yazılım türü olan DoubleTrouble Bankacılık Truva atını yakından izliyorlar.
Başlangıçta saygın bankaları taklit eden kimlik avı web siteleri aracılığıyla yayılan Truva, şimdi doğrudan anlaşmazlık kanallarında örnekleri barındıran sahte siteler de dahil olmak üzere daha sinsi dağıtım yöntemlerine uyum sağladı.
Bu pivot sadece erişimini genişletmekle kalmaz, aynı zamanda kaçınma yeteneklerini de artırır, ZLABS, 25 varyant örneği ve dokuzunu droppers ve yükler de dahil olmak üzere mevcut kampanyadan toplar.
Kötü amaçlı yazılımın temel gücü, Android’in erişilebilirlik hizmetlerini kötüye kullanmasıyla ilgilidir ve izin kısıtlamalarını atlamak için oturum tabanlı kurulum kullanır.
Uygulamanın kaynakları/ham dizinindeki yükünü gizleyerek ve Google Play simgesiyle meşru bir uzantı olarak maskelenerek, DoubleTrouble kullanıcılarını veri hırsızlığı ve cihaz kontrolü gibi arka plan işlemlerini sağlayarak erişim sağlıyor.
Statik analiz, yöntemlere ve sınıflara saçma sapan iki kelimelik isimler atayan gizleme teknikleri ile daha da karmaşıktır, bu da ters mühendisliği zorlu bir zorluk haline getirir.
Kimlik Hırsızlığı için Gelişmiş Yetenekler
DoubleTrouble’ın en son yinelemesi, kapsamlı veri açığa çıkmasına ve kullanıcı manipülasyonuna odaklanarak tehdit seviyesini yükselten bir dizi gelişmiş özellik sunar.
PatternLockView ve PinlockView gibi açık kaynaklı kitaplıklardan yararlanan kötü amaçlı yazılım, bir komut ve kontrol (C2) sunucusuna iletmeden önce pimleri, desenleri veya şifreleri yakalamak için sahte kilit ekranlarını dağıtır.
Ekran kaydı işlevselliği, yansıtılmış bir ekran oluşturmak için Android’in mediaProjeksiyonu ve VirtualDisplay API’lerini kullanıyor, ImageReAder aracılığıyla çerçeveleri yakalıyor, bunları meta verilerle zenginleştirilmiş JSON yükleri içinde Base64 kodlu JPEG’lere dönüştürüyor.
Bu, saldırganların OTP girişi, kripto para birimi cüzdan etkileşimleri ve bankacılık uygulama kullanımı dahil olmak üzere hassas faaliyetlere gerçek zamanlı görünürlük sağlar ve çok faktörlü kimlik doğrulamasını etkili bir şekilde atlatır.
Buna ek olarak, DoubleTrouble, aldatıcı “sistem bakım bildirimi” ekranlarını kaplayarak, sonraki yer paylaşımı saldırıları için potansiyel olarak hazırlama cihazlarını kaplayarak bankacılık veya güvenlik uygulamaları gibi hedeflenenleri engellemek için ön plana çıkar.

Gelişmiş bir KeyLogger, type_view_text_selection_changed olaylarından type_view_text_changed ve type_apps.xml ve cent cent_apps.xml’de piyasaya sürülen ve yüklenen uygulamaların kayıtlarını korurken verileri type_view_text_selection_changed olaylarından izler.
Kapsamlı komut seti
DoubleTrouble’ın C2-Driven komut repertuarı, çok yönlülüğünü vurgulayarak saldırganların dokunmatik hareketleri simüle etme (Click, Swipe_Path), ekran yakalamalarını yönetme (start_graphical, stop_graphical) ve html üst planlarını (html_injection, Custom__tml) enjekte etmelerini sağlıyor.
Block_app ve unblock_app gibi komutlar uygulama girişimini kolaylaştırırken, Push_Notification, URL’leri veya uygulamaları açmak için aldatıcı uyarılar sağlar.
Koruyucu mekanizmalar, tehditler için kullanıcı arayüzü öğelerini tarayan anti-analiz bayrakları (start_anti, stop_anti) ve aktiviteleri gizlemek için tam siyah ekranlar (enable_black_on) veya sahte güncellemeler (enable_update_on) gibi kaplamaları içerir.

Geleneksel bindirmeler devam eder, play Store gibi uygulamalar üzerinde, kimlik bilgilerini hasat etmek için “hesap doğrulaması” formları sunar, pessfiltrasyondan önce yerel olarak önbelleklenir.
Rapora göre, diğer yardımcı programlar arasında cihaz manipülasyon komutları (ev, geri, son, kilit, sessiz) ve veri alımı (get_screen_locks, get_events, get_screen_size) bulunur.
Bu kötü amaçlı yazılımların karmaşıklığı, Android kullanıcıları için önemli riskler oluşturmaktadır ve kimlik avı ve yetkisiz uygulama izinlerine karşı uyanıklık ihtiyacını vurgulamaktadır.
DoubleTrouble gibi tehditler gelişmeye devam ettikçe, güvenlik uzmanları, kimlik bilgisi hırsızlığı ve finansal sahtekarlığı azaltmak için düzenli güncellemeleri ve istenmeyen bağlantılar veya uyumsuzlukla ilgili içeriklerle temkinli etkileşimi teşvik eder.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!