Siber Muhbir

Cleafy güvenlik araştırmacıları Michele Roviello ve Alessandro Streno, "Mekanizmalar, hatalı biçimlendirilmiş ZIP dosyalarının JSONPacker ile birlikte kullanılmasını içeriyor" dedi. "Ek olarak, uygulama aynı anti-analiz mekanizmalarını paylaşan bir damlalık uygulaması aracılığıyla yükleniyor."

"Bu özellikler, tespit edilmekten kaçınmak ve siber güvenlik uzmanlarının kötü amaçlı yazılımı analiz etme ve azaltma çabalarını engellemek için tasarlanmıştır."

İlk olarak Eylül 2019'da CERT-Bund tarafından vahşi doğada yakalanan TrickMo, özellikle Almanya'daki kullanıcıları finansal dolandırıcılığı kolaylaştırmak için tek seferlik şifreler (OTP'ler) ve diğer iki faktörlü kimlik doğrulama (2FA) kodlarını sifonlamak için Android cihazları hedefleme geçmişine sahiptir.

Mobil odaklı kötü amaçlı yazılımın, şu anda feshedilmiş olan TrickBot e-suç çetesinin işi olduğu değerlendiriliyor ve zaman içinde radarın altında uçmak için gizleme ve analiz önleme özelliklerini sürekli olarak geliştiriyor.

Özellikler arasında dikkat çekenler arasında ekran etkinliğini kaydetme, tuş vuruşlarını günlüğe kaydetme, fotoğrafları ve SMS mesajlarını toplama, virüslü cihazı cihaz üzerinde dolandırıcılık (ODF) yapmak için uzaktan kontrol etme ve HTML bindirme saldırıları gerçekleştirmek için Android'in erişilebilirlik hizmetleri API'sini kötüye kullanma yeteneği yer alıyor.

İtalyan siber güvenlik şirketi tarafından keşfedilen kötü amaçlı damlalık uygulaması, kurulumdan sonra başlatıldığında, kurbanı Onayla düğmesini tıklayarak Google Play Hizmetlerini güncellemeye teşvik eden Google Chrome web tarayıcısı gibi görünüyor.

Kullanıcı güncellemeye devam ederse, TrickMo yükünü içeren bir APK dosyası "Google Hizmetleri" kisvesi altında cihaza indirilir ve ardından kullanıcıdan yeni uygulama için erişilebilirlik hizmetlerini etkinleştirmesi istenir.

Araştırmacılar, "Erişilebilirlik hizmetleri, cihazlarıyla etkileşim kurmanın alternatif yollarını sağlayarak engelli kullanıcılara yardımcı olmak için tasarlanmıştır" dedi. "Ancak, TrickMo gibi kötü amaçlı uygulamalar tarafından istismar edildiğinde, bu hizmetler cihaz üzerinde kapsamlı kontrol sağlayabilir."

"Bu yükseltilmiş izin, TrickMo'nun SMS mesajlarını ele geçirmek, kimlik doğrulama kodlarını engellemek veya gizlemek için bildirimleri işlemek ve kullanıcı kimlik bilgilerini çalmak için HTML bindirme saldırıları yürütmek gibi çeşitli kötü amaçlı eylemler gerçekleştirmesine olanak tanır. Ek olarak, kötü amaçlı yazılım, tuş korumalarını ve izinleri otomatik olarak kabul ederek cihazın işlemlerine sorunsuz bir şekilde entegre olmasını sağlayabilir."

Ayrıca, erişilebilirlik hizmetlerinin kötüye kullanılması, kötü amaçlı yazılımın önemli güvenlik özelliklerini ve sistem güncellemelerini devre dışı bırakmasına, istediği zaman izinleri otomatik olarak vermesine ve belirli uygulamaların kaldırılmasını önlemesine olanak tanır.

Cleafy'nin analizi, komut ve kontrol (C2) sunucusunda, kimlik bilgileri ve resimler de dahil olmak üzere cihazlardan sızan 12 GB değerinde hassas verilere herhangi bir kimlik doğrulama gerektirmeden erişmeyi mümkün kılan yanlış yapılandırmaları da ortaya çıkardı.

C2 sunucusu, yer paylaşımı saldırılarında kullanılan HTML dosyalarını da barındırır. Bu dosyalar, ATB Mobile ve Alpha Bank gibi bankaları ve Binance gibi kripto para platformlarını sayan çeşitli hizmetler için sahte giriş sayfalarını kapsar.

Güvenlik açığı, yalnızca tehdit aktörlerinin operasyonel güvenlik (OPSEC) hatasını vurgulamakla kalmaz, aynı zamanda kurbanların verilerini diğer tehdit aktörleri tarafından istismar edilme riskine sokar.

TrickMo'nun C2 altyapısından açığa çıkan bilgi zenginliği, kimlik hırsızlığı yapmak, çeşitli çevrimiçi hesaplara sızmak, yetkisiz para transferleri yapmak ve hatta hileli satın almalar yapmak için kullanılabilir. Daha da kötüsü, saldırganlar hesapları ele geçirebilir ve şifrelerini sıfırlayarak kurbanları kilitleyebilir.

Araştırmacılar, "Saldırgan, kişisel bilgileri ve görüntüleri kullanarak, kurbanları daha fazla bilgi ifşa etmeleri veya kötü niyetli eylemler gerçekleştirmeleri için kandıran ikna edici mesajlar oluşturabilir" dedi.

"Bu tür kapsamlı kişisel verilerin kullanılması, mağdurlar için anında mali ve itibar hasarına ve uzun vadeli sonuçlara yol açarak kurtarmayı karmaşık ve uzun süreli bir süreç haline getiriyor."

Açıklama, Google'ın üçüncü taraf geliştiricilerin uygulamalarının Play Integrity API kullanılarak dışarıdan yüklenip yüklenmediğini belirlemesine izin vermek ve eğer öyleyse, kullanıcıların uygulamaları kullanmaya devam etmek için Google Play'den indirmelerini zorunlu kılmak için dışarıdan yükleme konusundaki güvenlik açıklarını kapattığı sırada geldi.

Son Durum

Bir Google sözcüsü'nün yaptığı açıklamada, kötü amaçlı yazılımın Google Play Store aracılığıyla dağıtıldığına dair herhangi bir kanıt bulamadığını ve kullanıcıların, Google Play Hizmetlerine sahip Android cihazlarda varsayılan olarak etkinleştirilen Google Play Protect tarafından tehdidin bilinen sürümlerine karşı korunduğunu söyledi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.