Siber Muhbir

Zimperium güvenlik araştırmacısı Aazim Yaswant, geçen hafta yayınlanan bir analizde, "Bu yeni ekleme, tehdit aktörünün cihaz kilitliyken bile cihaz üzerinde çalışmasını sağlıyor" dedi.

İlk olarak 2019'da vahşi doğada tespit edilen TrickMo, TrickBot siber suç grubuyla olan ilişkilerinden dolayı bu şekilde adlandırılmıştır ve virüslü cihazlar üzerinde uzaktan kontrol sağlamanın yanı sıra SMS tabanlı tek seferlik parolaları (OTP'ler) çalabilir ve Android'in erişilebilirlik hizmetlerini kötüye kullanarak kimlik bilgilerini yakalamak için bindirme ekranları görüntüleyebilir.

Geçen ay, İtalyan siber güvenlik şirketi Cleafy, mobil kötü amaçlı yazılımın analizden kaçınmak ve yetkisiz işlemler gerçekleştirmek de dahil olmak üzere cihazda çeşitli kötü amaçlı eylemler gerçekleştirmek için kendisine ek izinler vermek için geliştirilmiş mekanizmalara sahip güncellenmiş sürümlerini açıkladı.

Kötü amaçlı yazılımın yeni varyantlarından bazıları, kurbana cihazın gerçek kilit açma ekranını taklit eden aldatıcı bir Kullanıcı Arayüzü (UI) sunarak cihazın kilit açma düzenini veya PIN'ini toplamak için de donatılmıştır.

Kullanıcı arayüzü, harici bir web sitesinde barındırılan ve tam ekran modunda görüntülenen ve böylece meşru bir kilit açma ekranı olduğu izlenimini veren bir HTML sayfasıdır.

Şüphelenmeyen kullanıcılar kilit açma düzenlerini veya PIN'lerini girerse, bilgiler benzersiz bir cihaz tanımlayıcısıyla birlikte saldırgan tarafından kontrol edilen bir sunucuya iletilir ("android.ipgeo[.]at") bir HTTP POST isteği biçiminde.

Zimperium, C2 sunucuları için yeterli güvenlik korumasının olmamasının, içlerinde depolanan veri türleri hakkında bilgi edinmeyi mümkün kıldığını söyledi. Bu, çoğu Kanada, BAE, Türkiye ve Almanya'da coğrafi olarak bulunan yaklaşık 13.000 benzersiz IP adresine sahip dosyaları içerir.

Yaswant, "Çalınan bu kimlik bilgileri yalnızca bankacılık bilgileriyle sınırlı değil, aynı zamanda VPN'ler ve dahili web siteleri gibi kurumsal kaynaklara erişmek için kullanılanları da kapsıyor" dedi. "Bu, kuruluşlara yönelik siber saldırılar için birincil giriş noktası olarak hizmet edebilecekleri için mobil cihazları korumanın kritik önemini vurguluyor."

Dikkate değer bir diğer husus, bankacılık, işletme, iş ve işe alım, e-ticaret, ticaret, sosyal medya, akış ve eğlence, VPN, hükümet, eğitim, telekom ve sağlık gibi birden fazla kategoriyi kapsayan uygulamalardan veri toplayan TrickMo'nun geniş hedeflemesidir.

Gelişme, finansal dolandırıcılık yapmak için Cerberus'un bir çeşidini kullanan yeni bir ErrorFather Android bankacılık truva atı kampanyasının ortaya çıkmasının ortasında geldi.

Broadcom'un sahibi olduğu Symantec, "Siber suçlular, orijinal Cerberus kötü amaçlı yazılımının keşfedilmesinden yıllar sonra sızan kaynak kodundan yararlanmaya devam ettikçe, ErrorFather'ın ortaya çıkışı, yeniden tasarlanmış kötü amaçlı yazılımların kalıcı tehlikesini vurguluyor" dedi.

Zscaler ThreatLabz'dan alınan verilere göre, bankacılık kötü amaçlı yazılımlarını içeren finansal amaçlı mobil saldırılar, Haziran 2023 - Nisan 2024 döneminde bir önceki yıla göre %29'luk bir sıçrama gördü.

Hindistan, tüm saldırıların %28'ini yaşayarak zaman dilimi boyunca mobil saldırıların en büyük hedefi olarak ortaya çıktı ve onu ABD, Kanada, Güney Afrika, Hollanda, Meksika, Brezilya, Nijerya, Singapur ve Filipinler izledi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.