Zimperium’un ZLABS araştırma ekibi, Hook Android Bankacılık Truva atının sofistike yeni bir varyantı belirledi ve mobil tehdit sofistike olmasında önemli bir yükseliş işaret etti.
Bu yineleme, komut ve kontrol (C2) sunucusundan dinamik olarak getirilmiş cüzdan adresleri aracılığıyla ödemeler talep eden fidye yazılımları tarzı kaplamalar içerir.
“Ransome” komutu ile etkinleştirilen bu tam ekran kaplamaları, HTML içeriğini doğrudan APK içine yerleştirerek “delete_ransome” yoluyla uzaktan işten çıkarılmasına izin verir.
Dağıtım taktikleri
Kötü amaçlı yazılım, “TakenFC” komutu tarafından tetiklenen sahte NFC kaplamalarıyla aldatmayı geliştirerek, tarama arayüzlerini taklit etmek için tam ekran web görünümü kullanarak, hassas verileri yaymak için gelecekteki JavaScript enjeksiyonları için hazırlanıyor.
Kilit ekranı baypas mekanizmaları, kimlik bilgilerini yakalamak için şeffaf kaplamalar üzerinde aldatıcı pim ve desen istemleri kullanılarak, yetkisiz erişimi sağlayarak özellikle gelişmişdir.
“Unlock_pin” komutu, Wakelocks’u alarak, kaydırma hareketlerini simüle ederek ve sunucu tarafından sağlanan pimleri yerelleştirilmiş onay musluklarıyla girerek bunu otomatikleştirir.
Buna ek olarak, “TakEncard” tarafından başlatılan hileli kimlik avı kaplamaları, gömülü HTML formları aracılığıyla kredi kartı ayrıntılarını çalmak için Google Pay Arayüzlerini çoğaltın ve yakalanan girdileri C2’ye geri aktarın.
Otomatik sahtekarlık ve uzaktan kumanda için Android erişilebilirlik hizmetlerini kötüye kullanma temeline dayanan Hook V3, 38 yeni ekleme de dahil olmak üzere geniş bir 107 uzaktan komutu desteklemektedir.
Bunlar, gerçek zamanlı izleme için “start_vnc” ile gizli ekran akışını etkinleştirir, “start_record_gesture” ile jest yakalama için şeffaf kaplamalar ve “onpoInterEvent” gibi programlı etkileşimleri, aşağı indirmek, devam etmek ve yukarı hareketleri simüle etmek için etkinleştirir.
Dağıtım, aktörlerin Hook, ERMAC, BROKEWELL ve SMS casus yazılımları için kötü niyetli APK’lara ev sahipliği yaptığı GitHub depolarından yararlanmak için kimlik avı alanlarının ötesinde genişledi.
Bu, Github’ın büyük ölçekli yayılma meşruiyetinden yararlanır ve ZLABS hem miras hem de yeni varyantları sergileyen birden fazla depoyu izler.
Teknik bilgiler
Teknik bir bakış açısından, Hook, SMS etkinlikleri (MITER T1624.001) için yayın alıcıları aracılığıyla devam eder ve aygıt yöneticisi izinleri (T1626.001) yoluyla ayrıcalıkları artırarak fabrika sıfırlamalarını, pin/şifre değişikliklerini ve kilit ekranı devre dışı bırakma sağlar.
Savunma Koruyucu Taktikleri, Google Chrome (T1655.001), SelfSstallation (T1630.001), cihazpolicyManager.lockNow () (T1629.002) aracılığıyla cihaz kilitleme ve jestler ve veri girişi (T1516) için giriş enjeksiyonu (T1516) gibi meşru uygulamalar olarak maskelenmeyi içerir.
Kimlik bilgisi erişimi çok yönlüdür, OTP’ler (T1517), Keylogging (T1417.001), GUI Capture (T1417.002) ve pano çıkarma (T1414) için bildirimler.
Discovery Fonksiyonları Dosya/Dizin Numaralandırması (T1420), Konum İzleme (T1430), Yüklü Uygulama Listesi (T1418), Ağ Bağlantısı Keşfi (T1421) ve Sistem Bilgisi Toplama (T1426).
Toplama yetenekleri, ekran yakalama (T1513), yerel veri erişimi (T1533), kamera/ses kaydı (T1512/T1429), çağrı kontrolü (T1616) ve SMS (T1636 subtechniques) ve hesapların (T1409) eklenmesi.
Komut ve Kontrol, iki yönlü iletişim (T1481.002) ve dinamik çözünürlük (T1637) için WebSocket’e dayanır ve sert kodlanmış kimlik bilgileri de dahil olmak üzere gelişmiş C2 esnekliği için gelecekteki RabbitMQ entegrasyonunun ipuçları ile dayanır.
Rapora göre, Telegram izleri eksik olsa da (sohbet kimlikleri veya bot belirteçleri yok) enjeksiyon veri iletimi için gelişen özellikler öneriyor.
Exfiltration, C2 kanalları (T1646) üzerinde gerçekleşirken, darbe teknikleri çağrı yönlendirme/engelleme (T1616), SMS manipülasyonu (T1582) ve bindirme tabanlı kimlik hırsızlığı (T1516) içerir.
Zimperium’un Mobil Tehdit Savunması (MTD) ve ZDefend, davranışsal analiz yoluyla, kenar yüklü varyantlar için bile kanca aleyhindeki cihazda dinamik tespit sağlar.
Paydaşlarla işbirliği, dağıtımı kısıtlayan önemli bir GitHub reposunun yayından kaldırılmasına yol açtı.
Bankacılık Trojan, Casus Yazılım ve Fidye Yazılımı taktiklerinin bu yakınsaması, artan risklerin altını çiziyor, tehdit sınırlarını bulanıklaştırıyor ve finansal ve işletme sektörleri için sağlam uç nokta korumaları talep ediyor.
Uzlaşma göstergeleri
| Tip | Gösterge | Tanım |
|---|---|---|
| Sha-256 | Örneğin, 123ABC… (örnek karma) | Kötü niyetli apk karma |
| C2 Alanı | Örneğin, maliousc2[.]com | Komut Sunucusu |
| Github Repo | örneğin, /aktör /kötü amaçlı yazılım | Dağıtım deposu |
| Emretmek | fidye | Fidye yazılımı kaplamasını tetikler |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!