Çift modlu çalışma yoluyla kalıcı bir komuta ve kontrol altyapısı oluştururken reklam tıklama sahtekarlığını otomatikleştirmek için yapay zekadan yararlanan, “Android.Phantom” adlı yeni ve gelişmiş bir Android kötü amaçlı yazılım ailesi.
Kötü amaçlı yazılım, hxxps://dllpgd adresinden kontrol edilen iki farklı “hayalet” ve “sinyal verme” modunda çalışır.[.]komut sunucusuna tıklayın.
ML modeli hxxps://app-download adresinden indirilir[.]cn-wlcb[.]ufileo’lar[.]com ve reklam öğelerini tanımlamak ve otomatik olarak tıklamak için sanal ekranların ekran görüntülerini analiz eder.
Daha gelişmiş sinyal modu, doğrudan eşler arası bağlantılar kurmak için WebRTC teknolojisini kullanarak saldırganların virüslü cihaz ekranlarının canlı video akışlarını yayınlamasına ve hassas tıklama manipülasyonu için tarayıcıları uzaktan kontrol etmesine olanak tanır.
Phantom modunda, Android.Phantom. 2.origin, hedef reklam web sitelerini yükleyen ve TensorFlowJS makine öğrenimi çerçevesini içeren “phantom” adlı bir JavaScript dosyasını çalıştıran gizli bir WebView tarayıcısı dağıtır.
Bu çift yönlü yetenek, güvenliği ihlal edilmiş cihazları doğrudan insan veya otomatik kontrol altında etkileşimli botlara dönüştürür.
Çok Aşamalı Kötü Amaçlı Yazılım Dağıtımı
Saldırı zinciri stratejik güncellemeler yoluyla gelişti. İlk oyun sürümleri, geliştiricilerin Android.Phantom.2.origin’i entegre ettiği 28/29 Eylül tarihine kadar temiz kaldı.
Daha sonra 15/16 Ekim tarihli bir güncelleme, ek tıklama değişkenlerini ve Android.Phantom.5.origin casus yazılım bileşenini getirmek için Android.Phantom.4.origin uzaktan kod yükleyicisini sağlayan Android.Phantom.5 damlalık modülünü tanıttı.
Bu modüler tasarım, saldırganların tüm uygulamaları yeniden dağıtmadan yükleri dinamik olarak güncellemelerine olanak tanır.
Kötü amaçlı yazılım öncelikle Xiaomi’nin resmi GetApps pazarındaki altı virüslü oyuna yayılıyor ve bunların tümü SHENZHEN RUIREN NETWORK CO., LTD tarafından yayınlanıyor:
| Virüslü Oyun | İndirilenler |
|---|---|
| Yaratılış Sihirli Dünya | >32.000 |
| Sevimli Evcil Hayvan Evi | >34.000 |
| İnanılmaz Tek Boynuzlu Parti | >13.000 |
| Sakura Rüya Akademisi | >4.000 |
| Hırsızlık Oto Mafyası | >61.000 |
| Açık Dünya Gangsterleri | >11.000 |
Saldırganlar, oyun uygulamalarının ötesinde Spotify Premium kilit açma, YouTube reklamsız sürümleri, Deezer geliştirmeleri ve Netflix atlatma araçları gibi popüler uygulama modlarına da sızdı.
Dağıtım, özel web siteleri (Spotify Plus, Spotify Pro, Apkmody, Moddroid) ve önemli erişime sahip Telegram kanalları aracılığıyla gerçekleşir. Moddroid.com kanalı tek başına 87.653 aboneye sahiptir.
Yaklaşık 24.000 üyeye sahip “Spotify X” adlı bir Discord sunucusu, virüslü modları aktif olarak tanıtıyor ve yöneticiler doğrudan indirme olanağı sunuyor.
Azaltmalar
Enfeksiyon verileri, Avrupa dilleri arasında yoğun bir etki olduğunu ortaya koyuyor: İspanyolca, Fransızca, Almanca, Lehçe ve İtalyanca konuşanlar, İngilizce dışında en çok etkilenen demografiyi temsil ediyor.
Kötü amaçlı yazılım çok yönlü riskler oluşturur: cihazlar farkında olmadan DDoS botları haline gelir, yasadışı çevrimiçi etkinlikleri kolaylaştırır, sürekli çalışma yoluyla pili ve veri kaynaklarını tüketir ve casus yazılım modülü aracılığıyla telefon numaraları, coğrafi konum ve yüklü uygulama listeleri dahil kişisel bilgileri sızdırır.
Doctor Web, özellikle ödeme kısıtlamalarının olduğu bölgelerde premium hizmetlere yetkisiz erişim isteyen kullanıcıların yüksek suiistimal riskiyle karşı karşıya olduğunu vurguluyor.
Ücretsiz oyun ve eğlence arayan çocuklar, dijital hijyen farkındalığının sınırlı olması nedeniyle özellikle savunmasız durumda.
Araştırmacılar, doğrulanmamış kaynaklardan mod indirmekten kaçınmayı ve akıllı telefonları, tabletleri, oyun konsollarını ve akıllı TV’leri korumak için kapsamlı mobil güvenlik çözümlerinin uygulanmasını şiddetle tavsiye ediyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.