Suçlu ve ulus devlet aktörleri, iPhone ve Android cihazlara gelişmiş yeteneklere sahip kötü amaçlı implantlar kurmak için yeni yollar aradıkça mobil platformlar giderek daha fazla tehdit altında.
Mobil saldırılar yıllardır süregelen bir sorun olmasına rağmen, yeni özelliklere sahip daha karmaşık kötü amaçlı yazılım aileleri sahneye girdikçe tehdit hızla gelişiyor.
Saldırganlar artık tam uzaktan erişim özelliklerine, modüler tasarıma ve bazı durumlarda kullanıcılar ve çalıştıkları şirketler için önemli tehditler oluşturabilecek solucan benzeri özelliklere sahip kötü amaçlı yazılımları aktif olarak dağıtıyor. Bu kötü amaçlı yazılım ailelerinin çoğu, düzenli geliştirme güncellemeleriyle sürekli olarak gelişiyor ve siber suçlular, resmi uygulama mağazalarının inceleme sürecini yenme konusunda daha iyi hale geliyor. Bu arada, hem ABD hem de AB düşünüyor yeni antitröst düzenlemeleri bu, uygulamaları “yan yükleme”yi bir tüketici hakkı haline getirebilir.
İşletmelerin, mobil saldırıların karmaşık tehdit aktörleri için kilit bir odak alanı olduğunu anlamaları önemlidir. Bu saldırılar, yeni araçlar ve taktikler ortaya çıktıkça gelişmeye devam edecek ve geleneksel kurumsal güvenlik için benzersiz zorluklar ortaya çıkaracaktır.
İşte şirketlerin hazırlaması gereken altı mobil kötü amaçlı yazılım taktiği:
1. Cihazda Dolandırıcılık
Mobil kötü amaçlı yazılımlarla ilgili en çok ilgili gelişmelerden biri, dolandırıcılık eylemlerini doğrudan kurbanın cihazından gerçekleştirme yeteneğidir. Cihaz içi dolandırıcılık (ODF) olarak bilinen bu gelişmiş yetenek, son zamanlardaki mobil bankacılık Truva atlarında, özellikle de en önemlisi tespit edilmiştir. sekiz, çay botu, Vultur ve Escobar. Octo’nun durumunda, kötü amaçlı yazılım Android’in MediaProjection hizmetinden (ekran paylaşımını etkinleştirmek için) ve Erişilebilirlik Hizmetinden (cihazda uzaktan eylemler gerçekleştirmek için) yararlandı. Bu uygulamalı uzaktan erişim özelliği, Escobar ve Vultur örneğinde olduğu gibi, VNC Viewer uygulamasıyla da etkinleştirildi.
ODF, büyük ölçüde yer paylaşımlı kimlik bilgisi hırsızlığına ve diğer veri hırsızlığı türlerine odaklanan mobil saldırılar için önemli bir dönüm noktasıdır. Çoğu ODF Truva Atı öncelikle finansal hırsızlığa odaklanmış olsa da, bu modüller Slack, Teams ve Google Dokümanlar gibi işletmeler tarafından kullanılan diğer hesap türlerini ve iletişim araçlarını hedef alacak şekilde uyarlanabilir.
2. Telefon Çağrısı Yönlendirme
Bir diğer rahatsız edici özellik, son zamanlarda ABD’de ortaya çıkan meşru telefon görüşmelerinin ele geçirilmesidir. sahte aramalar bankacılık Truva atı.
Bu saldırıda, kötü amaçlı yazılım, arayanın bilgisi olmadan kullanıcı tarafından başlatılan bir aramanın bağlantısını kesebilir ve aramayı saldırganın kontrolü altındaki başka bir numaraya yönlendirebilir. Çağrı ekranı meşru telefon numarasını göstermeye devam ettiğinden, kurbanın sahte bir çağrı servisine yönlendirildiğini bilmesinin hiçbir yolu yoktur. Kötü amaçlı yazılım, uygulama yüklemesi sırasında arama işleme iznini güvence altına alarak bunu başarır.
3. Bildirim Doğrudan Yanıtı Kötüye Kullanma
Şubat ayında, FluBot casus yazılımı (Sürüm 5.4), kötü amaçlı yazılımın hedeflediği uygulamalarda anlık bildirimlere müdahale etmesine ve doğrudan yanıt vermesine olanak tanıyan Android’in Doğrudan Bildirim Yanıt özelliğini kötüye kullanma özelliğini tanıttı. Bu özellik o zamandan beri Medusa ve diğer mobil kötü amaçlı yazılımlarda keşfedildi. köpekbalığı robotu.
Bu benzersiz yetenek, kötü amaçlı yazılımın sahte finansal işlemleri imzalamasına, iki faktörlü kimlik doğrulama kodlarını ele geçirmesine ve anında iletme bildirimlerini değiştirmesine olanak tanır. Ancak bu özellik, sosyal uygulama bildirimlerine (WhatsApp ve Facebook Messenger gibi) otomatik kötü niyetli yanıtlar göndererek kötü amaçlı yazılımı solucan benzeri bir şekilde kurbanın bağlantılarına yaymak için de kullanılabilir.
4. Etki Alanı Oluşturma Algoritması
Sharkbot bankacılık Truva Atı, başka bir özellik için de dikkate değerdir: algılamayı önlemek için kullandığı alan oluşturma algoritması (DGA). DGA’lı diğer geleneksel kötü amaçlı yazılımlarda olduğu gibi, mobil kötü amaçlı yazılım, komut ve kontrol (C2) sunucuları için sürekli olarak yeni alan adları ve IP adresleri oluşturur ve bu da güvenlik ekiplerinin kötü amaçlı yazılımı algılamasını ve engellemesini zorlaştırır.
5. App Store Tespitini Atlama
Uygulama inceleme süreci, kötü amaçlı yazılım geliştiricileri arasında her zaman bir kedi-fare oyunu olmuştur, ancak son zamanlardaki siber suçlu taktikleri dikkate değer. Örneğin CryptoRom suç kampanyası, Apple’ın TestFlight beta test platformunu ve Web Klipleri özelliğini, App Store’u tamamen atlayarak iPhone kullanıcılarına kötü amaçlı yazılım dağıtmak için kötüye kullandı. Google Play’in güvenlik süreci, bir suç aktörü tarafından atlandı. ücretli geliştiricilerin kötü amaçlı SDK’sını kullanmaları Uygulamalarında, daha sonra kullanıcılardan kişisel veriler çaldı.
Dropper’lar mobil kötü amaçlı yazılım dağıtımı için giderek daha yaygın hale gelirken, araştırmacılar son zamanlarda diğer dağıtım aktörleriyle birlikte bu hizmetler için yeraltı pazarındaki aktivitede bir artış fark ettiler. .
6. Daha Rafine Geliştirme Uygulamaları
Modüler kötü amaçlı yazılım tasarımı yeni olmasa da, Android bankacılık Truva Atları, yakın zamanda keşfedilen Xenomorph kötü amaçlı yazılımı gibi gelişmiş güncelleme yetenekleriyle geliştirilmektedir. Xenomorph, otomatik aktarım sistemi (ATS) özelliği de dahil olmak üzere, satırın çok daha gelişmiş bir Truva atı olmasını sağlayabilecek önemli güncelleme yeteneklerine izin vermek için modüler bir tasarım, erişilebilirlik motoru, altyapı ve C2 protokolünü birleştirir. İleride, daha fazla mobil kötü amaçlı yazılım ailesi, güvenliği ihlal edilmiş cihazlarda gelişmiş özellikler ve tamamen yeni işlevler sağlamak için daha iyi güncelleme süreçleri içerecek.
Kurumsal Savunmayı Güçlendirerek Karşı Durun
Bu yeni mobil kötü amaçlı yazılım taktiklerine karşı savaşmak için işletmelerin siber güvenlik programlarının sağlam savunmalar içerdiğinden emin olmaları gerekiyor. Bunlara mobil cihaz yönetimi çözümleri, çok faktörlü kimlik doğrulama ve güçlü çalışan erişim kontrolleri dahildir. Ve mobil kötü amaçlı yazılım bulaşmaları genellikle sosyal mühendislikle başladığından, şirketler güvenlik bilinci eğitimi sağlamalı ve bu saldırılar için iletişim kanallarını izleyen teknolojiyi dikkate almalıdır.