Xamalicious Backdoor, hedeflenen Android cihazı üzerinde, cihazın güvenlik çözümü tarafından tespit edilmeden tam kontrol sahibi olabilir.
McAfee’nin Mobil Araştırma Ekibi, Xamalicious adlı, kullanıcı cihazlarını tehlikeye atmak için karmaşık taktikler gösteren yaygın bir Android arka kapı tehdidini ortaya çıkardı. Kötü amaçlı yazılım, Xamarin çerçevesinden yararlanarak APK dosyası oluşturma sürecinde kötü amaçlı kodu gizleme yeteneklerini kullanarak tespit edilmeden çalışmasını sağladı.
Bu tehdit, çalışma zamanında enjekte edilen ikinci aşama bir veriyi indirmek için bir komuta ve kontrol sunucusuyla iletişim kurarak sosyal mühendislik yoluyla erişilebilirlik ayrıcalıkları kazanmayı amaçlıyor.
Kötü amaçlı yazılım yüklendikten sonra cihazın tam kontrolünü ele geçirerek reklamlara tıklamak, uygulamaları yüklemek ve kullanıcının izni olmadan diğer finansal amaçlı faaliyetler gibi çeşitli dolandırıcılık eylemlerine olanak tanır.
Finansal Motivasyonun Açıklanması:
Xamalicious arka kapısını diğerlerinden ayıran şey, kötü şöhretli reklam sahtekarlığı uygulaması “Cash Magnet” ile doğrudan bağlantısıdır. Bu bağlantı, Cash Magnet’in otomatik reklam tıklamaları, uygulama yüklemeleri ve dolandırıcılık geliri elde etmek için diğer eylemlerde bulunması nedeniyle, saldırıların ardındaki mali motivasyonlu gündemi açığa çıkarıyor.
Her Yerde Dağıtım ve Kalıcı Tehdit:
McAfee Mobile Araştırma Ekibi’nin blog gönderisine göre, Xamalicious arka kapısı taşıyan yaklaşık 25 kötü amaçlı uygulama tespit edildi ve bunlardan bazıları 2020 ortasından bu yana Google Play’e sızdı. Google’ın bu uygulamaları proaktif olarak kaldırmasına rağmen, tehdit üçüncü taraf pazarlarda varlığını sürdürüyor ve 327.000’den fazla cihazı tehlikeye atıyor.
Bu tehdidin etkisi geniş kapsamlı olup kıtalar arası kullanıcıları etkilemektedir. En önemli faaliyetler ABD, Brezilya, Arjantin, İngiltere, İspanya ve Almanya’da gözlemlendi.
McAfee’nin kullanıcıları silmeye teşvik ettiği etkilenen uygulamalardan bazıları şunlardır:
- Mektup Bağlantısı
- Logo Oluşturucu Pro
- Uykunuzu Takip Edin
- Otomatik Tıklama Tekrarlayıcı
- Evrensel Hesap Makinesi
- Ses Seviyesi Yükseltici
- Ses Seviyesi Genişletici
- Kolay Kalori Hesaplayıcıyı Say
- Adım Bekçisi: Kolay Adımsayar
- PE Minecraft için 3D Dış Görünüm Düzenleyici
- Android için Temel Burçlar
- Astrolojik Gezgin: Günlük Burç ve Tarot
- NUMEROLOJİ: KİŞİSEL BURÇ VE SAYI TAHMİNLERİ.
Dinamik İkinci Aşama Yükü Alarm Veriyor:
Kurulduktan sonra Xamalicious arka kapısının ikinci aşama yükü, kötü amaçlı yazılıma cihaz üzerinde tam kontrol sağlar. Bu özellik, kötü amaçlı yazılımın ana APK’yı kendi kendine güncellemesine ve casus yazılım gibi davranmaktan potansiyel olarak bir bankacılık truva atı olarak çalışmaya kadar çeşitli etkinlikleri kullanıcı etkileşimi gerektirmeden yürütmesine olanak tanır.
Erişilebilirlik Hizmetlerinden Yararlanma:
Xamalicious arka kapısının çalışma şekli, kullanıcıları erişilebilirlik hizmeti izinleri vermeleri için kandırmayı içerir. Güvenlik açıklarından yararlanan ve işletim sistemi uyarılarına rağmen kullanıcılardan bu hizmetleri manuel olarak etkinleştirmelerini isteyen kötü amaçlı yazılım, cihazda yer ediniyor.
Gizli Veri Toplama ve Şifreleme:
Xamalicious arka kapısı, kapsamlı cihaz bilgilerini toplayarak ve bir komut ve kontrol sunucusuyla iletişim kurarak tipik kötü amaçlı yazılımların ötesine geçer. İletişim, JSON Web Şifreleme (JWE) belirteçleri kullanılarak korunur. Kötü amaçlı yazılımın DLL’si, sabit kodlanmış RSA anahtar değerlerini içerir ve analiz sırasında olası şifre çözmenin kapısını açar.
Kullanıcılara Yönelik Koruyucu Önlemler:
Android cihazlar kullanıyorsanız, onları Xamalicious kötü amaçlı yazılımlarından ve ortaya çıkan diğer Android tehditlerinden korumak çok önemlidir. Kullanıcıların, özellikle bir uygulamanın meşru bir ihtiyacı olmadığı durumlarda, erişilebilirlik hizmeti izinlerini verirken dikkatli olmaları önemle tavsiye edilir.
Kötü amaçlı yazılım bulaşmalarıyla ilişkili riskleri azaltmak için McAfee Mobile Security gibi saygın güvenlik yazılımlarının yüklenmesi önerilir. Mobil ortamda gelişen tehditlere karşı sürekli koruma sağlamak için düzenli güncellemeler çok önemlidir. Haberdar olun, korunmaya devam edin.
İLGİLİ MAKALELER
- CapraRAT’ı Dağıtmak İçin Kullanılan Sahte YouTube Android Uygulamaları
- Android Kötü Amaçlı Yazılım FjordPhantom Sanallaştırma Yoluyla Fon Çaldı
- Amazon, eBay ve Afterpay, En İyi Android Kullanıcı Verisi Toplayıcıları Olarak
- Yeni MMRat Android Truva Atı, Banka Dolandırıcılığı İçin Sahte Uygulama Mağazalarını Kullanıyor
- Arka Kapılardan Etkilenen Android TV Kutuları, Ev Ağlarını Hackliyor