Dünya çapındaki bankacılık kullanıcılarını hedefleyen bir tür Android kötü amaçlı yazılım Marttan beri Araştırmacılar, Google Play Store’da 10 milyondan fazla indirme ile meşru bir uygulama kılığına girerek gelişmiş gizleme yöntemleriyle yeniden gün yüzüne çıktı.
Cyble Research & Intelligence Labs’tan (CRIL) araştırmacılara göre Godfather, en çok Avrupa ülkelerindeki bankacılık kullanıcılarını hedef almasıyla tanınan bir bankacılık Truva Atı, ancak en son etkinliği, yaygın kötü amaçlı yazılım tespit yöntemlerinin radarı altında uçma yeteneğinde artan bir karmaşıklık gösteriyor. dedi bir blog yazısı 20 Aralık’ta.
Araştırmacılar, bir kurbanın cihazına başarılı bir şekilde yüklendikten sonra, Godfather’ın bankacılık ve kripto takas kimlik bilgilerini çalmak da dahil olmak üzere bir dizi tipik bankacılık Truva Atı davranışı başlattığını söyledi. Ancak SMS’ler gibi hassas verileri, kurulu uygulamalardan gelen veriler dahil olmak üzere temel cihaz ayrıntılarını ve cihazın telefon numarasını da çalar ve arka planda sessizce bir dizi kötü niyetli eylem gerçekleştirebilir.
Bunların dışında VNC kullanarak cihaz ekranını da kontrol edebiliyor. [virtual network computing]kurbanın cihazına gelen aramaları yönlendiriyor ve bankacılık URL’lerini enjekte ediyor,” diye yazdı Cyble araştırmacıları.
Araştırmacıların keşfettiği en son Godfather örneğinin, kötü amaçlı yazılımın arkasındaki tehdit aktörlerinin yeni bir taktiği olan yaygın antivirüs ürünleri tarafından tespit edilmekten kaçınabilecek özel şifreleme teknikleri kullanılarak şifrelendiğini söyledi.
İşletmeleri ve Tüketicileri Hedefleme
Daha ayrıntılı incelemelerin ardından araştırmacılar, kötü amaçlı yazılımın halihazırda 10 milyondan fazla indirme kaydeden yasal Google Play uygulaması MYT Music’e benzer bir simge ve ad kullandığını tespit etti. Gerçekten de, Google’ın son yıllarda kötü uygulamaları kullanıcılar etkilenmeden mağazadan uzak tutmak için gösterdiği tüm çabalara rağmen, tehdit aktörleri genellikle kötü amaçlı yazılımları Google Play’de gizler.
MYT Müzik Türkçe yazılmıştı ve bu nedenle araştırmacılar keşfettikleri Godfather örneğinin Türkiye’deki Android kullanıcılarını hedef aldığını varsayıyorlar. Ancak, kötü amaçlı yazılımın diğer sürümlerinin aktif olmaya devam ettiğinden ve dünya çapındaki bankacılık kullanıcılarını hedef aldığından şüpheleniyorlar.
Bankacılık Truva Atları, işletmeden çok tüketicileri etkileme eğiliminde olsa da, iş kullanıcıları mobil cihazlarını işte kullandıkları ve hatta cihazlarında iş uygulamaları ve verileri depolanmış olabileceği için hala risk altındadır. Araştırmacılar, bu nedenle, kurumsal kullanıcıların internetten uygulama indirme veya cep telefonuna gönderilen SMS veya e-posta yoluyla alınan bağlantıları açma konusunda özellikle dikkatli olmaları gerektiğini söyledi.
Google Play uygulamayı kaldırdı, ancak uygulamayı yükleyenler hâlâ risk altında.
Godfather Kurbanların İplerini Nasıl Çeker?
Godfather, bir Android cihaza yüklendikten sonra cihazdan 23 farklı izin ister ve bunların bir kısmını kullanıcının kişilerine, cihazın durumuna ve ayrıca kullanıcı hesabıyla ilgili bilgilere erişmek için kötüye kullanır. Cyble araştırmacıları ayrıca, harici depolamadaki dosyaları yazabilir veya silebilir ve tuş kilidini ve ilgili herhangi bir parola güvenliğini devre dışı bırakabilir.
Godfather, çevirici kullanıcı arayüzünün kullanılmasını gerektirmeyen ve dolayısıyla kullanıcının aramayı onaylamasına ihtiyaç duymayan Yapılandırılmamış Ek Hizmet Verileri (USSD) aracılığıyla telefon görüşmeleri başlatma yeteneği sayesinde, saldırıya uğramış bir cihazdan başarılı bir şekilde para transferleri yapabilir. dediler.
Kötü amaçlı yazılım ayrıca, Godfather’a kurbanın aldığı tüm aramaları bir numaraya ileten bir komut gönderen bir komut ve kontrol (C2) sunucusuna geri gönderilebilen uygulama anahtarı günlükleri dahil olmak üzere hassas kullanıcı verilerini de cihazdan çıkarır. Araştırmacılar, tehdit aktörü tarafından sağlandığını söyledi.
Godfather daha sonra kimlik bilgilerini toplar: OnAccessibilityEvent yönteminde bir kaplama penceresi oluşturur ve sunucu URL’si bir Telegram kanalı olan hxxps://t olan C2’den ayrı bir komut aracılığıyla HTML kimlik avı sayfaları ekler.[.]me/varezotukomirza, dedi araştırmacılar.
Godfather, kötü niyetli faaliyetini tamamladıktan sonra C2’den kendi kendini sonlandırmak için bir “killbot” komutu alır, diye eklediler.
Godfather Tarafından Dövülmekten Kaçınmak
Kötü amaçlı mobil uygulama indirmekten kaçınmanın en yaygın yolu, geleneksel görüşe göre yalnızca Google Play veya Apple gibi resmi uygulama mağazalarından yazılım indirip yüklemektir.
Bununla birlikte, bu örneğin kanıtladığı gibi, kötü amaçlı yazılım resmi uygulama mağazalarında da gizlenebilir, bu nedenle araştırmacılar gönderide “mobil cihazlarda ve çevrimiçi bankacılık uygulamalarında temel siber hijyen uygulamak, bu tür kötü amaçlı yazılımların cihazlarınızı ele geçirmesini etkili bir şekilde önler” dedi. İndirilen herhangi bir şeyin kötü amaçlı yazılım içermediğinden emin olmak için bağlı cihazlarda saygın bir antivirüs ve İnternet güvenliği yazılım paketi.
Ayrıca, Godfather’ın arkasındaki tehdit aktörlerinin kullandıkları gibi gelişmiş tespit önleme yöntemleri, yasal uygulamalar gibi görünen şeyleri indirmeyi bile zorlaştırabilir, dediler. Kullanıcılar kendilerini daha fazla korumak için güçlü parolalar kullanabilir ve cihazlarda çok faktörlü kimlik doğrulamasını mümkün olan her yerde uygulayabilir, bu da tehdit aktörlerinin hesaplarına girmesini zorlaştırır.
Cyble araştırmacıları ayrıca, Android cihaz kullanıcılarının daha fazla güvenlik koruması için cihazlarında Google Play Protect’in etkinleştirildiğinden emin olmaları gerektiğini de sözlerine ekledi.
Tüm mobil cihaz kullanıcıları, mümkünse mobil cihazın kilidini açmak ve uygulamaları kullanmak için parmak izi veya yüz tanıma gibi biyometrik güvenlik özelliklerini de etkinleştirmeli ve özellikle bir uygulama saygın bir sağlayıcı tarafından doğrulanmamışsa, cihazlarda izinleri etkinleştirirken özellikle dikkatli olmalıdır. , eklediler.