Cyble araştırmacıları, 500’den fazla bankacılık ve kripto para birimi uygulamasını hedeflemek için yerel kod ve otomatik eylemler kullanan GodFather kötü amaçlı yazılımının yeni, daha gizli bir versiyonunu tespit etti.
Cyble araştırmacıları, “GodFather kötü amaçlı yazılımının en son sürümü, mobil tehditlerin ne kadar tehlikeli ve uyarlanabilir hale geldiğini gösteriyor” diye yazdı. “Saldırganlar, yerel koda geçerek ve daha az izin kullanarak GodFather’ın analiz edilmesini zorlaştırdı ve bankacılık ve kripto para birimi uygulamalarından hassas bilgileri çalma konusunda daha başarılı oldu.”
GodFather Kötü Amaçlı Yazılım Hedeflerini Japonya ve Singapur’u da İçerecek Şekilde Genişletiyor
Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL) araştırmacıları, bilgi hırsızının hedef ülkelerini İngiltere, ABD, Türkiye, İspanya ve İtalya’dan Japonya, Singapur, Yunanistan ve Azerbaycan’ı da ekleyerek genişlettiğini belirtti.
Araştırmacılar, önceki Java kodu uygulamasının kötü amaçlı faaliyetleri için yerel koda geçtiğini ve kötü amaçlı yazılımın artık sınırlı izinlere dayandığını ve “hedeflenen uygulamalardan kimlik bilgilerini yakalamak için büyük ölçüde Erişilebilirlik hizmetlerine dayandığını” söyledi.
USSD ve SMS işlemlerine yönelik komutlar en son sürümden çıkarıldı ve kötü amaçlı yazılımın, virüslü cihazlardan SMS mesajı toplama veya gönderme izni yok. Bunun yerine, yeni eklenen komutlar öncelikle virüslü cihazlardaki eylemlerin otomatikleştirilmesine odaklanıyor.
CRIL blogunda, yeni GodFather kötü amaçlı yazılım komutlarının “kötü amaçlı yazılımın virüs bulaşmış cihazlardaki hareketleri otomatikleştirmesine ve kullanıcı eylemlerini taklit etmesine olanak tanıdığı” belirtildi.
Cyble, “Yeni otomatik eylemleri ve daha fazla ülkedeki uygulamaları daha geniş bir şekilde hedeflemesiyle bu kötü amaçlı yazılım, dünya çapındaki kullanıcılar için giderek artan bir risk oluşturuyor” dedi.
Yer Paylaşımı Saldırısı Sahte Giriş URL’si ile Değiştirildi
İlginç bir değişiklikle, geleneksel bir katman saldırısı yerine, kötü amaçlı yazılım artık yasal uygulamayı yüklemiyor ve bunun yerine kendini etkinleştirip bankacılık kimlik bilgilerini çalmak için bir kimlik avı sayfası yüklüyor.
Araştırmacılar, “Kullanıcı hedef uygulamayla etkileşime girmeye çalıştığında, kötü amaçlı yazılım orijinal uygulamayı kapatıyor” dedi. “Bunun yerine, Web Görünümüne sahte bir bankacılık veya kripto giriş URL’si yüklüyor veya boş bir ekran görüntülüyor.”
Komut ve kontrol (C&C) sunucusunu kullanarak enjeksiyon URL’sini oluşturur. kolay[.]tepe ve bitiş noktasını ekler rx/f.php?f= Birleştirilmiş URL’yi Web Görünümüne yüklemeden önce cihaz adı, paket adı ve varsayılan dil ile birlikte.
Kimlik Avı Sitesinde Yeni GodFather Kötü Amaçlı Yazılım Varyantı Bulundu
Araştırmacılar, bir kimlik avı sitesi keşfettikten sonra yeni kötü amaçlı yazılım çeşidini buldular. mygov-au[.]uygulamaBu, Avustralya Hükümeti’nin resmi MyGov web sitesini taklit ediyordu. Araştırmacılar, “Daha ayrıntılı analizler sonucunda bu sitenin, bankacılık uygulaması kimlik bilgilerini çalma yeteneğiyle bilinen GodFather Kötü Amaçlı Yazılımıyla bağlantılı şüpheli bir APK dosyası dağıttığı tespit edildi” dedi.
Söz konusu uygulama, MyGov.apkURL ile iletişim kurar az-inatv[.]iletişim. Bu site, adlı bir dosyayı içeren açık bir dizini barındırıyor. counters.zip Virüs bulaşmış cihazları izleyen ve IP adreslerinin bir listesini içeren. Dizin ayrıca “aşağı” etiketli ve adlı başka bir APK dosyasını barındıran bir sayfa da içeriyordu. lnat Tv Pro 2024.apkAraştırmacılar bunu GodFather Kötü Amaçlı Yazılımı olarak tanımladı.
Cyble, “MyGov uygulaması bu verileri toplarken, TA’nın potansiyel kurban sayılarını belirlemek için bu ziyaretçi bilgilerinden yararlanabileceğinden ve daha sonra aynı web sitesini GodFather kötü amaçlı yazılımını dağıtmak için kullanabileceğinden şüpheleniyoruz” dedi.
Araştırmacılar, yalnızca Google Play Store veya iOS App Store gibi resmi uygulama mağazalarındaki uygulamaları yüklemek, cihazları ve uygulamaları güncel tutmak ve antivirüs, güçlü şifreler, biyometri ve çok faktörlü kimlik doğrulama kullanmak gibi iyi güvenlik uygulamalarının izlenmesini önerdi.
Blogun tamamı ayrıca MITRE ATT&CK tekniklerini ve uzlaşma göstergelerini (IoC) içerir.
İlgili