Bir Rus siber suç forumunda reklamı yapılan Nexus adlı bir Android bankacılık truva atı, 13’e kadar tüm Android sürümlerinde kötü amaçlı yazılım saldırıları başlatabilir ve daha fazla özellik ve yetenek eklemek için hala üzerinde çalışılmaktadır.
Nexus kötü amaçlı yazılımının, youtubeadvanced dahil olmak üzere YouTube Vanced’in meşru web siteleri gibi görünen kimlik avı sayfaları aracılığıyla dağıtıldığı tespit edildi.[.]net ve youtubevanvedadw[.]net, Cyble Research and Intelligence Labs’ta (CRIL) araştırmacılar buldu.
Kötü amaçlı yazılımın kodu analiz edildi ve Android cihazları hedefleyen SOVA bankacılık truva atı ile benzerlikler gösterdiği bulundu.
Nexus kötü amaçlı yazılım hedefleri
Nexus kötü amaçlı yazılımı, Android tabanlı cihazlardan hassas verileri çalmak için bankacılık uygulamalarını hedefler. Bankalardan bazıları Finansbank Enpara, mBank, Ziraat bankası, YKB ve VakıfBank’tı. Hedeflenen bankalara bağlantıların tam listesi aşağıda görülebilir:
Bankaların çoğunun genel merkezi Türkiye, Togo Cumhuriyeti, İspanya vb. ülkelerdeydi. Nexus, Exodus cüzdanlarına erişim de dahil olmak üzere belirli bankacılık uygulamalarından cüzdan bilgilerini çalabiliyordu.
Nexus kötü amaçlı yazılımı izinlerden yararlanabilir ve aşağıdakiler dahil olmak üzere kendi komutlarını çalıştırabilir:
- cihaz ekranını kilitlemek için startlock
- yönetici olarak çalışmak için getperm
- 2FA etkinleştiriciyi devre dışı bırakmak için stop2faactivator
- cihazdaki push bildirimlerini gizlemek için starthidenpush
- cihazdan SMS çalmak için getms
- arama yapmak için arayın
- Trust cüzdan verilerini çalmak için gettrustwallet
- yöneticiyi devre dışı bırakmak ve Nexus’u kaldırmak için delbot
Kötü amaçlı yazılım saldırısı, artık feshedilmiş YouTube Vanced Android uygulamasının meşru sayfası gibi görünmek için taklit edilen kimlik avı sayfaları aracılığıyla hedeflere başlatıldı. Araştırmacılar, hedefleri aldatmak için kullanılan aşağıdaki klonlanmış sayfaları tespit ettiler:
Nexus kötü amaçlı yazılımı: Ayrıntılı bir analiz
“Kötü amaçlı yazılım, kullanıcıdan Erişilebilirlik Hizmetini ilk kez başlattığında etkinleştirmesini ister. Kurban bu izni verdiğinde, kötü amaçlı yazılım, istenen izinleri otomatik olarak onaylamak, cihaz yönetimini etkinleştirmek ve keylogging etkinliklerini başlatmak için hizmetten yararlanır.
URL hxxp://5.161.97[.]Komuta ve Kontrol sunucusu olarak 57:5000 kullanıldı ve paket adı com.toss.soda idi. SHA256 karması, 3dcd8e0cf7403ede8d56df9d53df26266176c3c9255a5979da08f5e8bb60ee3f idi.
CRIL araştırmacıları, kullanıcıları bankayı bilgilendirmeleri ve ardından WiFi ve/veya mobil verileri devre dışı bırakmaları ve sim kartı çıkarmaları konusunda uyardı. Fabrika ayarlarına sıfırlama yapmaları gerekebilir. Acil hafifletme için bankacılık uygulamasının kaldırılması da tavsiye edilir.
Araştırmacılar, Nexus Android kötü amaçlı yazılımı ile 2021’de keşfedilen SOVA Android bankacılık truva atı arasında benzerlikler buldu.
Nexus bankacılık kötü amaçlı yazılımına karşı SOVA bankacılık truva atı
SOVA ayrıca Nexus ile benzer kodlamaya sahipti ve Android 7’den 11’e kadar olan sürümlere saldırdı. Bir XSS.is forumundaki bir reklam, SOVA’yı DDoS saldırıları ve fidye yazılımı saldırıları başlatabilecek hale getirme niyetiyle duyurdu.
Kötü amaçlı yazılım geliştiricileri, SOVA bankacılık truva atına Ortadaki Adam (MiTM) yeteneklerini eklemeyi planlıyorlardı. MiTM saldırıları genellikle oturum açmayı gerektiren bankacılık ve e-ticaret uygulamalarını hedefler.
Bu tür saldırılarda, siber suçlu veya kötü amaçlı yazılım geliştiricisi, meşru bir yönetici veya uygulamayla ilgili yardım sunan bir ekibin üyesi kılığına girerek hedefle etkileşime girmeye çalışır.
Hindistan Bilgisayar Acil Durum Müdahale Ekibi (CERT-In), ülkenin bankacılık müşterilerinin kendisi tarafından hedef alındığına dair bir uyarı yayınladığında, SOVA Android Truva Atı geçenlerde siber güvenlik haberlerinde yer aldı.
İlk olarak Eylül 2021’de yeraltı pazarlarında satışa çıkan kötü amaçlı yazılım, kullanıcı adlarını ve şifreleri toplayabilir, kullanıcılar internet bankacılığı uygulamalarında oturum açtıklarında kimlik bilgilerini yakalayabilir ve eylemleri engelleyerek ve kullanıcıyı bir ekranla ana ekrana döndürerek yüklemenin kaldırılmasını önleyebilir: Bu uygulama güvenlidir.
Resmi uyarı, “SOVA’nın yapımcılarının yakın zamanda onu başlangıcından bu yana beşinci sürümüne yükselttikleri keşfedildi ve bu sürüm bir Android telefondaki tüm verileri şifreleme ve fidye için tutma yeteneğine sahip” dedi.
“SOVA’nın bir diğer önemli özelliği, kendisini farklı kurban eylemlerinden korumayı amaçlayan “korumalar” modülünün yeniden düzenlenmesidir.”