Siber güvenlik manzarasında, özellikle bir kerelik şifreler (OTPS) içeren SMS mesajlarını kesmek için tasarlanmış siber güvenlik manzarasında “Gorilla” adı verilen sofistike yeni Android kötü amaçlı yazılım suşu ortaya çıktı.
Bu kötü niyetli yazılım, enfekte olmuş cihazlar hakkında hassas bilgilere erişmek için Android’in izin sisteminden yararlanarak arka planda gizli bir şekilde çalışır.
İlk analiz, Gorilla’nın öncelikle bankacılık müşterilerini ve Yandex gibi popüler hizmetlerin kullanıcılarını hedeflediğini ve çalınan SMS mesajlarını saldırganlar tarafından daha kolay sömürü için kategorize ettiğini göstermektedir.
.png
)
Kötü amaçlı yazılım, SIM kartı bilgilerine erişmek ve enfekte cihazlardan telefon numaralarını almak için Read_Phone_State ve Read_Phone_Numbers dahil kritik Android izinlerinden yararlanır.
Yüklendikten sonra Gorilla, operatörleriyle sürekli iletişimi sürdürmek için “WS: // $ url/ws/cihazlar/? Cihaz_id = $ android_id & platform = android” biçimini izleyerek, komut ve kontrol (C2) altyapısına kalıcı bir bağlantı kurar.
Bu bağlantı, kötü amaçlı yazılımların komut almasına ve hassas verileri gerçek zamanlı olarak dışarı atmasına izin verir.
Katalizör araştırmacıları, Gorilla’nın, şüpheyi artırabilecek request_installed_package iznini gerektirecek olan GetInstalledPackage veya GetInstalledApplications API’lerinin kullanılmasından kaçınarak tespitten kaçınmak için alışılmadık bir teknik kullandığını belirledi.
Bunun yerine, kötü amaçlı yazılım sorguları başlatıcı, paket adlarını, uygulama adlarını ve sürümleri belirlemeyi amaçlayarak daha düşük bir profili korurken yüklü uygulamalar hakkında bilgi toplamasını sağlar.
Kötü amaçlı yazılımların C2 paneli, “bankalar” ve “Yandex” gibi etiketler altında metodik olarak düzenlenen çalıntı SMS mesajları ile finansal bilgiler ve popüler hizmetlere yönelik hedefli bir yaklaşım önermektedir.
Bu kategorizasyon, saldırganların, yakalanan mesajlarda bulunan değerli kimlik doğrulama kodlarını ve hassas bilgileri hızlı bir şekilde tanımlamasını ve kullanmasını sağlar.
Özünde, Gorilla bir dizi arka plan hizmeti ile çalışır ve kullanıcı cihazla aktif olarak etkileşime girmese bile kalıcı bir işlem sağlar.
Android gereksinimlerine uymak için, bu hizmetler, bir bildirim görüntülemek için Foreground_service izniyle birlikte StartForeground API’sını kullanır ve kötü niyetli etkinliğini meşru sistem süreçleri olarak etkili bir şekilde maskeler.
Teknik analiz: Komut yapısı ve yetenekleri
Kötü amaçlı yazılımın komut yapısı, her biri saldırı zincirinde belirli işlevler sunan üç birincil eylem türünü ortaya çıkarır.
.webp)
“Cihaz_info” komutu, enfekte cihaz hakkında ayrıntılı bilgileri saldırganlara çıkarır ve iletir.
“Update_settings” komutu, şu anda yalnızca daha fazla işlem yapmadan makbuzu kaydederken uykuda görünürken, muhtemelen kötü amaçlı yazılım davranışının uzaktan yapılandırılmasını sağlar.
En eleştirel olarak, “send_sms” komutu, saldırganların enfekte olmuş cihazdan SMS mesajlarını özel mesaj metni olan alıcılara göndermelerine olanak tanır.
// Command handling structure in Gorilla malware
// Three primary command types:
device_info // Transmits device information
update_settings // Currently inactive but logs receipt
send_sms // Allows remote SMS sending with specified textSMS müdahalesi yeteneklerinden aktif olarak yararlanırken, Gorilla işlevselliğinin planlanmış genişlemesini öneren bileşenler içerir.
Kullanılmayan bir WebViewActivity sınıfının varlığı, özellikle bu bileşen tipik olarak HTML içeriğini oluşturduğundan ve bankacılık kimliklerini hasat eden ikna edici kimlik avı sayfaları sergilemek için bankacılık kötü amaçlı yazılımlarda genellikle kaldırıldığından, özellikle ilgilidir.
Kötü amaçlı yazılım ayrıca bir USSDRECEIVER sınıfı şeklinde ilgi çekici ancak aktif olmayan bir kalıcılık mekanizması içerir.
Bu bileşen, aranan “*#0000#” kodunu dinlemek ve tespit edildiğinde MainActivity’yi başlatmak için tasarlanmıştır. Şu anda kayıtlı veya aktif olmasa da, bu mekanizma saldırganlara, kötü amaçlı yazılımların kaldırma girişimlerinden sonra bile çalışır durumda kalmasını sağlamak için ek bir yöntem sağlayabilir.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy