- Yeni Kötü Amaçlı Yazılım Varyantı: Gigabud, yeni bir sofistike siber tehlike dalgası getiriyor.
- Küresel Operasyon: Gigabud, çeşitli ülkelerde en az 25 şirketi, finans kurumunu ve devlet dairesini hedef aldı.
- 2FA’yı atlar: Gigabud kötü amaçlı yazılımı, iki faktörlü kimlik doğrulamayı (2FA) ustaca atlatabilir.
- Finans Devlerini Hedefliyor: Finansal kurumlar, Gigabud’un odaklanmış saldırılarından kaynaklanan artan bir tehditle karşı karşıya.
- Gigabud ailesi: Gigabud.Loan varyantı, kurbanları düşük faizli kredi vaadiyle cezbeden sahte bir kredi başvurusu olarak kendini gösteriyor.
- Ortaya Çıkan Siber Risk: Gigabud’un yükselişi, finansal siber tehditlerin gelişen manzarasının altını çiziyor.
Gigabud adlı yeni bir bankacılık truva atı, zorlu bir rakip olarak ortaya çıktı ve dünya çapındaki finans kurumları için sürekli bir tehlike oluşturuyor. Bir Android Uzaktan Erişim Truva Atı (FARE), Gigabud ilk olarak Eylül 2022’de Tayland merkezli bir finans kuruluşunu ve Asya-Pasifik bölgesindeki müşterilerini hedef aldığında güvenlik uzmanlarının dikkatini çekti.
Group-IB uzmanları, bir müşterinin talebine yanıt olarak, karmaşık taktiklerinin kodunu çözmek için kötü amaçlı yazılımın kapsamlı bir analizini üstlendi. Gigabud’un tanımlayıcı özelliği, kötü niyetli eylemleri gerçekleştirmeye yönelik temkinli yaklaşımıdır.
Sızma üzerine hemen harekete geçen geleneksel kötü amaçlı yazılımlardan farklı olarak Gigabud, kötü amaçlı uygulama içinde kullanıcı yetkilendirmesini bekler, bu da onu oldukça zor kılan bir stratejidir. Gigabud, HTML yer paylaşımlı saldırılara güvenmek yerine hassas bilgileri toplamak için ekran kaydını kullanır ve bu da tespitini daha da karmaşık hale getirir.
Gigabud’un göze çarpan özelliklerinden biri, kurbanın cihazında uzaktan eylemler gerçekleştirmesine izin veren erişilebilirlik hizmetlerini kullanmasıdır. “TouchAction” olarak bilinen bu yetenek, saldırganın kullanıcının cihazında hareketler gerçekleştirmesini sağlayarak onlara iki faktörlü kimlik doğrulama da dahil olmak üzere savunma mekanizmalarından kaçma gücü verir (2FA).
Gigabud RAT, birçok ülkede en az 25 şirketi, finans kuruluşunu ve devlet dairesini hedef alarak kimliklerini taklit etmeyi ve kullanıcıları aldatmayı amaçlıyor.
Araştırmacılar ayrıca Gigabud ailesi içinde paralel bir tehdidi de ortaya çıkardı: Gigabud.Loan. Bu varyant, kurbanları düşük faizli kredi vaadiyle kandıran sahte bir kredi başvurusu olarak kendini gösterir. Kullanıcılar uygulamayla etkileşim kurduktan sonra, daha sonra tehdit aktörleri tarafından kullanılabilecek hassas kişisel bilgiler sağlamaya zorlanırlar.
Gigabud.Loan’ın modus operandi’si Tayland, Endonezya ve Peru gibi çeşitli ülkelerden hayali finans kurumlarının kimliğine bürünmeyi içerir.
Hem Gigabud.RAT hem de Gigabud.Loan’ın dağıtım stratejisi, kimlik avı yapan web sitelerine odaklanır. Bu web siteleri, kurbanlara anlık mesajlaşma programları, SMS veya sosyal ağlar aracılığıyla yanıltıcı mesajlar gönderilerek onları kötü niyetli bağlantılara yönlendiren “smishing” gibi taktiklerle dağıtılır. Bazı durumlarda, kötü amaçlı yazılım doğrudan aşağıdakiler gibi platformlardaki mesajlar aracılığıyla iletilir: Naber.
2022 ile 2023 yılları arasında Group-IB araştırmacıları, gelişmiş avlama teknikleri kullanarak 400’den fazla Gigabud RAT örneği ve 20’den fazla Gigabud.Loan örneği tespit etti.
Gigabud’un oluşturduğu tehdide karşı koymak için, Grup-IB önerir çok yönlü bir savunma stratejisi. Kuruluşlar, kullanıcı oturumlarının proaktif olarak izlenmesine öncelik vermeli, güvenli çevrimiçi uygulamalar konusunda müşteri eğitimine öncelik vermeli ve dijital koruma araçlarını kullanmalıdır.
Kullanıcılara ise, bağlantılara tıklarken dikkatli olmaları, riskli uygulamaları indirmekten kaçınmaları ve güvenilir VPN’ler halka açık Wi-Fi ağlarında.
İLGİLİ MAKALELER
- FakeTrade Android Kötü Amaçlı Yazılım Saldırısı Kripto Cüzdan Verilerini Çalıyor
- Sahte Google reCAPTCHA ile dağıtılan kötü amaçlı Android bankacılığı yazılımı
- Play Store uygulamalarında yeni Android bankacılık kötü amaçlı yazılımı Xenomorph bulundu
- Uzmanlar, Android bankacılık truva atı SOVA’nın ortaya çıkmasından endişe duyuyor
- İran Takip Yazılımı ‘Spyhide’ 60.000 Android Cihazdan Veri Çalıyor