Siber Muhbir

McAfee Mobil Araştırma Ekibi tarafından Xamalicious olarak adlandırılan kötü amaçlı yazılım, Xamarin adlı açık kaynaklı bir mobil uygulama çerçevesi kullanılarak geliştirildiği ve amaçlarını gerçekleştirmek için işletim sisteminin erişilebilirlik izinlerini kötüye kullandığı için bu şekilde adlandırılmıştır.

Ayrıca, güvenliği ihlal edilmiş cihaz hakkında meta verileri toplayabilir ve ikinci aşama bir yükü almak için bir komuta ve kontrol (C2) sunucusuyla iletişim kurabilir, ancak yalnızca faturaya uyup uymadığını belirledikten sonra.

Güvenlik araştırmacısı Fernando Ruiz, ikinci aşamanın "cihazın tam kontrolünü ele geçirmek ve potansiyel olarak reklamlara tıklamak, uygulama yüklemek gibi hileli eylemler gerçekleştirmek için çalışma zamanı düzeyinde bir derleme DLL'si olarak dinamik olarak enjekte edildiğini" söyledi.

Siber güvenlik firması, bu aktif tehditle birlikte gelen ve bazıları 2020'nin ortalarından bu yana resmi Google Play Store'da dağıtılan 25 uygulama belirlediğini söyledi. Uygulamaların en az 327.000 kez yüklendiği tahmin ediliyor.

Enfeksiyonların çoğu Brezilya, Arjantin, İngiltere, Avustralya, ABD, Meksika ve Avrupa ve Amerika'nın diğer bölgelerinde bildirilmiştir. Uygulamalardan bazıları aşağıda listelenmiştir -

• Essential Horoscope for Android (com.anomenforyou.essentialhoroscope)
• 3D Skin Editor for PE Minecraft (com.littleray.skineditorforpeminecraft)
• Logo Maker Pro (com.vyblystudio.dotslinkpuzzles)
• Auto Click Repeater (com.autoclickrepeater.free)
• Count Easy Calorie Calculator (com.lakhinstudio.counteasycaloriecalculator)
• Sound Volume Extender (com.muranogames.easyworkoutsathome)
• LetterLink (com.regaliusgames.llinkgame)
• NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS (com.Ushak.NPHOROSCOPENUMBER)
• Step Keeper: Easy Pedometer (com.browgames.stepkeepereasymeter)
• Track Your Sleep (com.shvetsStudio.trackYourSleep)
• Sound Volume Booster (com.devapps.soundvolumebooster)
• Astrological Navigator: Daily Horoscope & Tarot (com.Osinko.HoroscopeTaro)
• Universal Calculator (com.Potap64.universalcalculator)

Genellikle sağlık, oyunlar, burç ve üretkenlik uygulamaları olarak maskelenen Xamalicious, Android'in erişilebilirlik hizmetlerini kötüye kullanan ve gerektiğinde kendisine ek izinler vermek de dahil olmak üzere ayrıcalıklı eylemler gerçekleştirmek için kurulum sırasında kullanıcıların erişimini talep eden uzun bir kötü amaçlı yazılım aileleri listesinin en sonuncusudur.

Ruiz, "Analiz ve tespitten kaçınmak için, kötü amaçlı yazılım yazarları, C2 ile virüslü cihaz arasında iletilen tüm iletişimi ve verileri şifreledi, yalnızca HTTPS ile korunmakla kalmadı, aynı zamanda 128CBC-HS256 algoritmasına sahip RSA-OAEP kullanarak bir JSON Web Şifreleme (JWE) belirteci olarak şifrelendi" dedi.

Daha da rahatsız edici bir şekilde, ilk aşama damlalık, ana Android paketi (APK) dosyasını kendi kendine güncellemek için işlevler içerir, yani herhangi bir kullanıcı etkileşimi olmadan casus yazılım veya bankacılık truva atı olarak hareket etmek üzere silah haline getirilebilir.

McAfee, Xamalicious ile Cash Magnet adlı bir reklam sahtekarlığı uygulaması arasında, reklamlara tıklayarak yasa dışı bir şekilde gelir elde etmek için uygulama indirmeyi ve otomatik tıklama etkinliğini kolaylaştıran bir bağlantı tespit ettiğini söyledi.

Ruiz, "Flutter, react native ve Xamarin gibi çerçevelerle java olmayan kodla yazılmış Android uygulamaları, tespit edilmekten kaçınmak ve güvenlik sağlayıcılarının radarı altında kalmaya çalışmak ve uygulama pazarlarındaki varlıklarını sürdürmek için kasıtlı olarak bu araçları seçen kötü amaçlı yazılım yazarlarına ek bir gizleme katmanı sağlayabilir" dedi.

 Google, Play Protect'in Android kullanıcılarını hem Play Store'da hem de Play Store dışında kötü amaçlı yazılımlara karşı koruduğunu söyledi.

Şirket, "Bir kullanıcı, kötü amaçlı yazılım içerdiği bilinen bu uygulamalardan birine zaten sahipse, kullanıcı bir uyarı aldı ve cihazından otomatik olarak kaldırıldı" diye ekledi. "Bir kullanıcı bu tanımlanan kötü amaçlı yazılımla bir uygulama yüklemeye çalışırsa, bir uyarı alır ve uygulamanın yüklenmesi engellenir."

Android Kimlik Avı Kampanyası, Banker Kötü Amaçlı Yazılımıyla Hindistan'ı Hedefliyor

Açıklama, siber güvenlik şirketinin, Hindistan Devlet Bankası (SBI) gibi meşru bankaların kimliğine bürünen sahte APK dosyalarını dağıtmak için WhatsApp gibi sosyal mesajlaşma uygulamalarını kullanan ve kullanıcıdan zorunlu bir Müşterini Tanı (KYC) prosedürünü tamamlamak için bunları yüklemesini isteyen bir kimlik avı kampanyasını detaylandırmasıyla geldi.

Uygulama yüklendikten sonra, kullanıcıdan SMS ile ilgili izinler vermesini ister ve yalnızca kurbanın kimlik bilgilerini değil, aynı zamanda hesabını, kredi/banka kartını ve ulusal kimlik bilgilerini de yakalayan sahte bir sayfaya yönlendirir.

Toplanan veriler, ele geçirilen SMS mesajlarının yanı sıra, daha sonra aktör tarafından kontrol edilen bir sunucuya iletilir ve böylece düşmanın yetkisiz işlemleri tamamlamasına izin verilir.

Microsoft'un geçen ay, Hintli çevrimiçi bankacılık kullanıcılarını hedeflemek için dağıtım vektörleri olarak WhatsApp ve Telegram'ı kullanan benzer bir kampanya konusunda uyardığını belirtmekte fayda var.

Araştırmacılar Neil Tyagi ve Ruiz, "Hindistan, dünyanın başka yerlerinde, muhtemelen diğer ülkelerde yaşayan Hintli SBI kullanıcılarından gelen birkaç isabetle, ülkenin dijital ortamında bu bankacılık kötü amaçlı yazılımının oluşturduğu akut tehdidin altını çiziyor" dedi.