DroidBot, ulusal kuruluşlar, kripto para borsaları ve bankalar da dahil olmak üzere 77 farklı kuruluşu hedef alan gelişmiş bir Android Uzaktan Erişim Truva Atı’dır (RAT).
Birleşik Krallık, İtalya, Fransa, İspanya ve Portekiz gibi ülkelerde aktif kampanyalar tespit edildi ve bu da Latin Amerika’ya yayılma potansiyeline işaret ediyor.
Araştırmacılar bu yeni Android Uzaktan Erişim Truva Atı’nı (RAT) Ekim 2024’ün sonlarında bulup incelediler. Yapılan değerlendirmenin ardından, bu tehdidin Haziran 2024’e kadar uzanan işaretleri keşfedildi.
DroidBot örneklerinin analizinin ardından, Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) altyapısı da keşfedildi; 17 farklı bağlı kuruluş tanımlandı ve onlara benzersiz tanımlayıcılar verildi.
DroidBot Kötü Amaçlı Yazılımına Genel Bakış
DroidBot, geleneksel gizli VNC ve yer paylaşımı yeteneklerine sahip casus yazılımlarda tipik olarak bulunan özellikleri içeren gelişmiş bir Android Uzaktan Erişim Truva Atı’dır (RAT).
Cleafy TIR ekibi, “Kullanıcı etkileşimlerinin ele geçirilmesini sağlayan bir keylogger ve izleme rutinleri içeriyor, bu da onu gözetleme ve kimlik bilgileri hırsızlığı için güçlü bir araç haline getiriyor” dedi.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
DroidBot’un çift kanallı iletişim sistemi benzersiz özelliklerinden biridir. Yer paylaşımlı hedef parametreleri gibi gelen komutlar HTTPS üzerinden alınırken güvenliği ihlal edilmiş cihazlardan giden veriler MQTT (Message Queuing Telemetri Transport) protokolü kullanılarak gönderilir. Bu ayırma sayesinde operasyonel esnekliği ve sağlamlığı artırılır.
Kötü amaçlı yazılım örneklerinde bulunan bilgilere (yapılandırma dosyaları ve hata ayıklama dizeleri gibi) dayanarak araştırmacılar, geliştiricilerin çoğunun Türkçe konuştuğuna inanıyor.
Kötü amaçlı yazılımın da aktif olarak geliştirildiği görülüyor. Bazı özellikler (karartma, emülatör kontrolleri ve çok aşamalı paket açma dahil) örnekler arasında farklılık gösterse de, kök kontroller gibi diğerleri henüz düzgün şekilde uygulanmamış yer tutuculardır.
Araştırmacılar, “Gelişmiş gözetim özellikleri, çift kanallı iletişim, çeşitli hedef listesi ve aktif bir MaaS altyapısının birleşimi, DroidBot’un karmaşıklığını ve uyarlanabilirliğini öne çıkarıyor” dedi.
“Bu kötü amaçlı yazılım geliştikçe finansal kurumlara, devlet kurumlarına ve birçok bölgedeki diğer yüksek değerli hedeflere yönelik artan bir tehdit oluşturuyor”.
DroidBot Kampanyalarının Arkasındaki TTP
Saldırganlar, kurbanları DroidBot’u indirmeleri ve yüklemeleri için kandırmak amacıyla bankacılık kötü amaçlı yazılım dağıtım çabalarında yaygın olarak görülen popüler tuzakları kullanıyor.
Burada kötü amaçlı yazılım, tanınmış bankacılık uygulamaları, Google hizmetleri veya genel güvenlik uygulamaları gibi görünüyor.
DroidBot’un kötü amaçlı işlemleri çoğunlukla Erişilebilirlik Hizmetlerinin kötüye kullanılmasına dayanıyor. Yerel Android uygulamaları için yaygın olarak kullanılan B4A çerçevesi, DroidBot’un geliştirilmesinde kullanılmış gibi görünüyor.
B4A’nın, Brata ailesi ve onun iyi bilinen CopyBara çeşidi de dahil olmak üzere, Brezilyalı TA’lar tarafından oluşturulan kötü amaçlı yazılımlarda sıklıkla kullanılması dikkat çekicidir.
Android bankacılık kötü amaçlı yazılımının işlevleri aşağıdaki gibidir:
SMS Dinleme: Finansal kuruluşların işlem kimlik doğrulama numaralarını (TAN’lar) sağlamak için sıklıkla kullandığı gelen SMS mesajlarını izler.
Anahtar Günlüğü: Hesap bakiyeleri, oturum açma kimlik bilgileri ve kişisel bilgiler dahil olmak üzere özel verileri çalmak için Erişilebilirlik Hizmetlerini kullanır.
Yer Paylaşımı Saldırısı: Geçerli kimlik bilgilerini çalmak için sahte bir giriş sayfası gösterilir.
VNC Benzeri Rutin: Kurbanın cihazının ekran görüntülerini yakalayarak tehdit aktörlerine, cihazın gerçek zamanlı olarak ne yaptığının resmini veren sürekli görsel bilgiler verir.
Ekran Etkileşimi: Güvenliği ihlal edilmiş cihazın uzaktan kontrolüne izin verir ve düğmelere basma, form doldurma ve uygulamalarda gezinme gibi kullanıcı davranışlarını taklit edecek komutların yürütülmesini içerir.
Siber suç alanında, kötü amaçlı yazılım geliştiricileri, tehlikeli yazılımlarını ve hizmetlerini diğer siber suçlulara satmak için Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) olarak bilinen bir iş modelini kullanır.
Kötü amaçlı yazılım ayarlarının ve DroidBot Komuta ve Kontrol (C2) altyapılarının analizi, özel bir MaaS ağının işaretlerini ortaya çıkardı.
Droidbot, mobil tehditler alanında iyi bilinen ancak yaygın olarak kullanılmayan bir paradigma sunmaktadır.
Teknolojik zorluklar çok yüksek olmasa da yeni dağıtım ve ortaklık modeli, saldırı yüzeyi izlemeyi önemli ölçüde artıracağından ciddi endişeler doğuruyor.
Araştırmacılar bunun çok önemli olabileceğini çünkü bu kadar büyük bir veri kümesinin ölçeğini değiştirmenin bilişsel yükü çok daha yüksek hale getirebileceğini söylüyor.
Bu, eğer gerçek zamanlı bir izleme sistemi etkili bir şekilde desteklemiyorsa, finansal kurumların dolandırıcılıkla mücadele ekiplerine ciddi şekilde aşırı yük bindirebilir.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses