Resmi Google Play Store’dan 50.000’den fazla kez kümülatif olarak yüklenen bir dizi hileli Android uygulaması, bankaları ve diğer finansal kuruluşları hedef almak için kullanılıyor.
Kiralık bankacılık truva atı, dublajlı sekizExobotCompact adlı başka bir Android kötü amaçlı yazılımın yeniden markası olduğu söyleniyor ve bu da Exobot selefi Hollandalı mobil güvenlik firması ThreatFabric’in “hafif” bir yerine geçiyor. dedim The Hacker News ile paylaşılan bir raporda.
Exobot’un muhtemelen Coper adında ayrı bir soyunun yolunu açtığı söyleniyor. keşfetti farklı Avrupa Ülkelerindeki Android kullanıcılarını hedef alan yeni enfeksiyonlarla birlikte Temmuz 2021 civarında Kolombiyalı kullanıcıları hedefliyor.
Siber güvenlik şirketi Cyble, “Coper kötü amaçlı yazılım uygulamaları tasarım olarak modülerdir ve çok aşamalı bir bulaşma yöntemi ve kaldırma girişimlerinden kurtulmak için birçok savunma taktiği içerir.” not alınmış geçen ay kötü amaçlı yazılımın bir analizinde.
Diğer Android bankacılık truva atları gibi, hileli uygulamalar, birincil işlevi içlerine yerleştirilmiş kötü amaçlı yükü dağıtmak olan damlatıcılardan başka bir şey değildir. Birden fazla tehdit aktörü tarafından kullanılan Octo ve Coper damlalıklarının listesi aşağıdadır –
- Cep Screencaster (com.moh.screen)
- Hızlı Temizleyici 2021 (vizeeva.fast.cleaner)
- Play Store (com.restthe71)
- Banka Sonrası Güvenlik (com.carbuildz)
- Cep Screencaster (com.cutthousandjs)
- BAWAG PSK Güvenliği (com.frontwonder2) ve
- Play Store uygulama yüklemesi (com.theseeye5)
Play Store uygulama yükleyicisi, ekran kaydı ve finansal uygulamalar gibi görünen bu uygulamalar, “yaratıcı dağıtım şemaları tarafından desteklenmektedir” ve bunları Google Play mağazası aracılığıyla ve kullanıcıları bir tarayıcı güncellemesini indirmeleri konusunda uyardığı iddia edilen sahte açılış sayfaları aracılığıyla dağıtmaktadır.
Damlalıklar kurulduktan sonra, truva atlarını başlatmak için bir kanal görevi görür, ancak kullanıcılardan, güvenliği ihlal edilmiş telefonlardan hassas bilgileri sızdırmak için geniş bir yetenek yelpazesine izin veren Erişilebilirlik Hizmetlerini etkinleştirmelerini istemeden önce değil.
ExobotCompact’in revize edilmiş versiyonu olan Octo, Android’in yanı sıra erişilebilirlik izinlerinden yararlanarak cihazlar üzerinde uzaktan kontrol sağlayarak cihaz içi dolandırıcılık yapabilecek donanıma sahip. Medya Projeksiyonu API’si ekran içeriğini gerçek zamanlı olarak yakalamak için.
ThreatFabric, nihai hedefin, “dolandırıcılık işlemlerinin otomatik olarak başlatılmasını ve operatörün manuel çabalarına gerek kalmadan yetkilendirilmesini, böylece önemli ölçüde daha büyük bir ölçekte sahtekarlığa izin verilmesini” tetiklemek olduğunu söyledi.
Octo’nun diğer dikkate değer özellikleri arasında tuş vuruşlarını günlüğe kaydetme, kimlik bilgilerini yakalamak için bankacılık uygulamalarına üst üste bindirme saldırıları gerçekleştirme, iletişim bilgilerini toplama ve kaldırmayı önlemek ve antivirüs motorlarından kaçmak için kalıcılık önlemleri yer alıyor.
ThreatFabric, “Octo olarak yeniden markalama, Exobot kaynak kodu sızıntısıyla olan önceki bağları siler ve iddiaya göre yeni ve orijinal bir truva atı kiralama fırsatı arayan çok sayıda tehdit aktörünü davet eder.”
“Yetenekleri, yalnızca üst üste bindirme saldırısı tarafından hedeflenen açıkça hedeflenen uygulamaları değil, aynı zamanda virüslü cihaza ExobotCompact/Octo olarak yüklenen herhangi bir uygulamayı, ekranda görüntülenen herhangi bir uygulamanın içeriğini okuyabilir ve oyuncuya yeterli bilgiyi sağlayabilir. onunla uzaktan etkileşim kurun ve cihazda sahtekarlık (ODF) gerçekleştirin.”
Bulgular, adında farklı bir Android banka robotunun keşfinin hemen ardından yaklaşıyor. Mafya babası — varsayılan Ayarlar uygulaması kisvesi altında Avrupa’daki bankacılık kullanıcılarını para transfer etmek ve SMS mesajlarını çalmak için hedeflediği gözlemlenen Cereberus ve Medusa bankacılık truva atlarıyla örtüşmeler.
Bunun üzerine, bir yeni analiz AppCensus tarafından yayınlanan, pano içeriğini, GPS verilerini, e-posta adreslerini, telefon numaralarını ve hatta kullanıcının modem yönlendirici MAC adresini yakalamayı mümkün kılan Coelib adlı üçüncü taraf bir SDK ile implante edilen 46 milyondan fazla kuruluma sahip 11 uygulama buldu ve ağ SSID’si.