GhostGrab adlı gelişmiş bir Android bankacılık truva atı, tehdit ortamında ortaya çıktı ve gelişmiş kimlik bilgileri hırsızlığı yetenekleriyle birden fazla bölgedeki finansal kurumları hedef alıyor.
Kötü amaçlı yazılım, virüslü cihazlarda sessizce çalışarak hassas bankacılık kimlik bilgilerini toplarken SMS mesajları aracılığıyla tek kullanımlık şifrelere de müdahale ediyor.
Güvenlik ekipleri, GhostGrab’ı tehlikeye atılmış uygulama mağazaları ve kötü amaçlı reklamlar aracılığıyla dağıtan aktif kampanyaları gözlemledi ve bu durum, mobil bankacılık tehditlerinin gelişen karmaşıklığıyla ilgili endişeleri artırdı.
GhostGrab, genellikle meşru üretkenlik uygulamaları veya sistem yardımcı programları gibi görünen, sosyal mühendislik taktikleriyle başlayan çok katmanlı bir enfeksiyon stratejisi kullanıyor.
Kötü amaçlı yazılım yüklendikten sonra erişilebilirlik hizmetleri, SMS erişimi ve yer paylaşımı izinleri de dahil olmak üzere standart uygulama işlevselliği adı altında kapsamlı izinler talep ediyor.
.webp)
Bu ayrıcalıklar, truva atının, kurbanlarda anında şüphe uyandırmadan kullanıcı etkinliklerini izlemesine, ekran içeriğini yakalamasına ve kimlik doğrulama mesajlarına müdahale etmesine olanak tanır.
Cyfirma araştırmacıları, kötü amaçlı yazılımı rutin tehdit istihbaratı operasyonları sırasında tespit etti ve büyük bankacılık kurumları tarafından kullanılan tespit mekanizmalarından kaçınmaya yönelik gelişmiş yaklaşımına dikkat çekti.
Truva atı, araştırma ortamları tespit edildiğinde yürütmeyi sonlandıran emülatör tespiti ve hata ayıklayıcı kontrolleri de dahil olmak üzere gelişmiş anti-analiz yetenekleri sergiliyor.
Analiz, GhostGrab’ın şifreli kanallar aracılığıyla komuta ve kontrol iletişimini sürdürdüğünü, hedeflenen bankacılık uygulamalarını ve sızma protokollerini belirten güncellenmiş yapılandırma dosyalarını aldığını ortaya koyuyor.
Tehdit aktörleri, yetkisiz fon transferleri ve sahte işlemler için çalınan kimlik bilgilerini kullandığından, kötü amaçlı yazılımın etkisi bireysel hesapların ele geçirilmesinin ötesine geçiyor.
Finansal kurumlar, GhostGrab enfeksiyonlarıyla bağlantılı olarak hesap ele geçirme olaylarının arttığını bildirdi ve bu durum, gelişmiş izleme protokolleri ve müşteri güvenliği tavsiyelerine yol açtı.
Teknik Mimari ve Veri Süzme Yöntemleri
GhostGrab, meşru bankacılık uygulamalarının üzerinde ikna edici kimlik avı ekranları görüntüleyen gelişmiş bir yer paylaşımlı saldırı mekanizması uygular.
Kurbanlar hedeflenen finansal uygulamaları başlattıklarında, kötü amaçlı yazılım dinamik olarak oturum açma arayüzlerinin mükemmel piksel kopyalarını oluşturarak kullanıcılar girerken kimlik bilgilerini yakalıyor.
Truva atı, kayıtlı yayın alıcıları aracılığıyla gelen SMS mesajlarını izliyor ve ortak OTP modelleriyle eşleşen kimlik doğrulama kodlarını filtreliyor.
Çıkarılan kimlik bilgileri ve OTP kodları, uzak sunuculara iletilmeden önce AES-256 şifrelemesi kullanılarak anında şifrelenir ve ağ izleme araçları tarafından tespit edilmesi en aza indirilir.
Kötü amaçlı yazılım, sistem önyükleme alıcıları ve cihazın yeniden başlatılmasının veya uygulamanın sonlandırılmasının ardından çekirdek bileşenleri yeniden başlatan ön plan hizmetleri aracılığıyla kalıcılığı korur.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
