Siber Muhbir

IBM, bugün yayınlanan bir teknik raporda, yaklaşımın kötü amaçlı uygulamanın simgesini kurbanın cihazının ana ekranından gizlemesine izin verdiğini söyledi.

Güvenlik araştırmacısı Nir Somech, "Bu yeni teknik sayesinde, PixPirate keşif ve saldırı aşamaları sırasında kurban, bu kötü amaçlı yazılımın arka planda gerçekleştirdiği kötü niyetli işlemlerden habersiz kalıyor" dedi.

İlk olarak Şubat 2023'te Cleafy tarafından belgelenen PixPirate, hedefli bir bankacılık uygulaması açıldığında PIX anında ödeme platformunu kullanarak gizlice yetkisiz para transferleri gerçekleştirmek için Android'in erişilebilirlik hizmetlerini kötüye kullanmasıyla biliniyor.

Sürekli mutasyona uğrayan kötü amaçlı yazılım, kurbanların çevrimiçi bankacılık kimlik bilgilerini ve kredi kartı bilgilerini çalmanın yanı sıra iki faktörlü kimlik doğrulama kodlarına erişmek için tuş vuruşlarını yakalayabilir ve SMS mesajlarını ele geçirebilir.

Genellikle SMS ve WhatsApp aracılığıyla dağıtılan saldırı akışı, finansal dolandırıcılığı ortadan kaldırmak için ana yükü (diğer adıyla droppee) dağıtmak üzere tasarlanmış bir damlalık (diğer adıyla indirici) uygulamasının kullanılmasını gerektirir.

Somech, "Genellikle, indirici droppee'yi indirmek ve yüklemek için kullanılır ve bu noktadan itibaren droppee, tüm dolandırıcılık işlemlerini yürüten ana aktördür ve indirici önemsizdir" dedi.

"PixPirate söz konusu olduğunda, indirici yalnızca droppee'yi indirip kurmaktan değil, aynı zamanda onu çalıştırmaktan ve yürütmekten de sorumludur. İndirici, birbirleriyle iletişim kurarken ve yürütmek için komutlar gönderirken droppee'nin kötü niyetli faaliyetlerinde aktif bir rol oynar.

İndirici APK uygulaması, bir kez başlatıldığında, kurbandan PixPirate bileşenini aktör tarafından kontrol edilen bir sunucudan almak veya kendi içine gömülüyse yüklemek için uygulamayı güncellemesini ister.

Droppee'nin en son sürümünde değişen şey, "android.intent.action.Main" eylemi ve bir kullanıcının ana ekrandan bir uygulamayı başlatmasına izin veren "android.intent.category.LAUNCHER" kategorisi ile etkinliğin olmamasıdır.

Başka bir deyişle, enfeksiyon zinciri hem indiricinin hem de droppee'nin birlikte çalışmasını gerektirir ve birincisi, droppee tarafından dışa aktarılan bir hizmete bağlanarak PixPirate APK'sını çalıştırmaktan sorumludur.

Somech, "Daha sonra, kalıcılığı korumak için, droppee, kaydettiği farklı alıcılar tarafından da çalıştırılacak şekilde tetiklenir" dedi. "Alıcılar, sistemde meydana gelen farklı olaylara göre etkinleştirilecek şekilde ayarlanmıştır ve başlangıçta droppee'nin çalışmasını tetikleyen indirici tarafından değil."

"Bu teknik, kurban PixPirate indiricisini cihazından kaldırsa bile PixPirate droppee'nin çalışmasına ve varlığını gizlemesine izin veriyor."

Gelişme, Latin Amerika (LATAM) bankalarının, hedeflenen banka sitesine girilen kimlik bilgilerini ele geçirmek amacıyla tarayıcıda adam ve web enjeksiyon saldırıları gerçekleştirmek için SATiD adlı sahte bir Microsoft Edge uzantısı kullanan Fakext adlı yeni bir kötü amaçlı yazılımın hedefi haline gelmesiyle geldi.

SAT ID'nin, Meksika Vergi İdaresi Servisi (SAT) tarafından çevrimiçi vergi beyannamesi vermek için elektronik imzalar oluşturmak ve güncellemek için sunulan bir hizmet olduğunu belirtmekte fayda var.

Belirli durumlarda, Fakext, kurbanı bankanın BT destek ekibi gibi davranarak meşru bir uzaktan erişim aracı indirmeye teşvik eden ve sonuçta tehdit aktörlerinin finansal dolandırıcılık yapmasına olanak tanıyan bir katman gösterecek şekilde tasarlanmıştır.

En az Kasım 2023'ten bu yana aktif olan kampanya, bölgede faaliyet gösteren ve çoğunluğu Meksika'da bulunan 14 bankayı seçiyor. Uzantı o zamandan beri Edge Eklentileri mağazasından kaldırıldı.

Güncelleştirmek

Hikayenin yayınlanmasının ardından, bir Google sözcüsü aşağıdaki açıklamayı paylaştı:

Mevcut tespitlerimize göre, Google Play'de bu kötü amaçlı yazılımı içeren hiçbir uygulama bulunamadı. Android kullanıcıları, Google Play Hizmetleri'ne sahip Android cihazlarda varsayılan olarak açık olan Google Play Protect tarafından bu kötü amaçlı yazılımın bilinen sürümlerine karşı otomatik olarak korunur. Google Play Protect, Play dışındaki kaynaklardan gelse bile kullanıcıları uyarabilir veya kötü amaçlı davranışlar sergilediği bilinen uygulamaları engelleyebilir.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.