Siber güvenlik araştırmacıları, yeni bir Android bankacılık truva atının ayrıntılarını açıkladı. Sığırcık Bu, kimlik bilgilerinin çalınmasına ve cihazın tamamının ele geçirilmesine olanak tanıyarak mali dolandırıcılık yapılmasını sağlar.
The Hacker News ile paylaşılan bir raporda ThreatFabric, “En önemli fark, şifreli mesajlaşmayı atlama yeteneğidir” dedi. “Şifre çözme işleminden sonra içeriği doğrudan cihaz ekranından yakalayan Sturnus, WhatsApp, Telegram ve Signal aracılığıyla iletişimleri izleyebilir.”
Dikkate değer bir diğer özellik ise, kurbanların kimlik bilgilerini ele geçirmek için bankacılık uygulamalarının üzerinde sahte oturum açma ekranları sunarak katman saldırıları düzenleme yeteneğidir. Hollandalı mobil güvenlik şirketine göre Sturnus özel olarak işletiliyor ve şu anda değerlendirme aşamasında olduğu değerlendiriliyor. Bankacılık kötü amaçlı yazılımını dağıtan yapılar aşağıda listelenmiştir:
- Google Chrome (“com.klivkfbky.izaybebnx”)
- Ön Karışım Kutusu (“com.uvxuthoq.noscjahae”)
Kötü amaçlı yazılım, Güney ve Orta Avrupa’daki finans kurumlarını bölgeye özgü katmanlarla özellikle ayırmak için tasarlandı.
Sturnus adı, düz metin, AES ve RSA’yı harmanlayan karma bir iletişim modeli kullanımına bir göndermedir; ThreatFabric onu, çeşitli ıslık sesleri içeren ve ses taklidi olduğu bilinen Avrupa sığırcıklarına (iki terimli ad: Sturnus vulgaris) benzetmektedir.
Truva atı başlatıldığında, cihazı kaydetmek ve karşılığında şifrelenmiş veriler almak için WebSocket ve HTTP kanalları üzerinden uzak bir sunucuyla bağlantı kurar. Ayrıca, tehdit aktörlerinin, Sanal Ağ Bilgi İşlem (VNC) oturumları sırasında ele geçirilen Android cihazıyla etkileşime girmesine olanak tanıyan bir WebSocket kanalı da kurar.
Sturnus, bankacılık uygulamaları için sahte katmanlar sunmanın yanı sıra, tuş vuruşlarını yakalamak ve kullanıcı arayüzü (UI) etkileşimlerini kaydetmek için Android’in erişilebilirlik hizmetlerini kötüye kullanma yeteneğine de sahip. Mağdura bir banka için bir katman sunulduğunda ve kimlik bilgileri toplandığında, kullanıcının şüphesini uyandırmamak için söz konusu hedefe yönelik katman devre dışı bırakılır.
Ayrıca, tüm görsel geri bildirimleri engelleyen tam ekran bir kaplama görüntüleyebilir ve Android işletim sistemi güncelleme ekranını taklit ederek kullanıcıya yazılım güncellemelerinin devam ettiği izlenimini verebilir, ancak gerçekte arka planda kötü amaçlı eylemlerin gerçekleştirilmesine izin verir.
Kötü amaçlı yazılımın diğer özelliklerinden bazıları arasında cihaz etkinliğini izleme desteğinin yanı sıra Signal, Telegram ve WhatsApp’tan sohbet içerikleri toplamak ve ekrandaki görünür her arayüz öğesi hakkında ayrıntılı bilgi göndermek için erişilebilirlik hizmetlerinden yararlanma yer alıyor.
Bu, saldırganların kendi uçlarındaki düzeni yeniden yapılandırmasına ve tıklamalar, metin girişi, kaydırma, uygulama başlatma, izin onayları ile ilgili eylemleri uzaktan gerçekleştirmesine ve hatta siyah ekran kaplamasını etkinleştirmesine olanak tanır. Sturnus’ta bulunan alternatif bir uzaktan kumanda mekanizması, cihazın ekranını gerçek zamanlı olarak yansıtmak için sistemin ekran yakalama çerçevesini kullanır.
ThreatFabric, “Kullanıcı, yönetici durumunu devre dışı bırakabilecek ayarlar ekranlarına gittiğinde, kötü amaçlı yazılım erişilebilirlik izleme yoluyla girişimi algılıyor, ilgili kontrolleri belirliyor ve otomatik olarak sayfadan uzaklaşarak kullanıcıyı rahatsız ediyor” dedi.
“Yönetici hakları manuel olarak iptal edilene kadar, hem sıradan kaldırma hem de ADB gibi araçlar aracılığıyla kaldırma işlemi engelleniyor ve bu da kötü amaçlı yazılıma temizleme girişimlerine karşı güçlü bir koruma sağlıyor.”
Kapsamlı ortam izleme yetenekleri, sensör bilgilerinin, ağ koşullarının, donanım verilerinin ve yüklü uygulamaların envanterinin toplanmasını mümkün kılar. Bu cihaz profili sürekli bir geri bildirim döngüsü görevi görerek saldırganların taktiklerini yan adım tespitine uyarlamalarına yardımcı olur.
ThreatFabric, “Yayılım bu aşamada sınırlı kalsa da, hedeflenen coğrafya ve yüksek değerli uygulama odağının birleşimi, saldırganların daha geniş veya daha koordineli operasyonlar öncesinde araçlarını geliştirdiklerini gösteriyor.” dedi.