Bir tehdit aktörü, çevrimiçi hesapları ele geçirmek ve potansiyel olarak bu hesaplardan para çekmek için birden fazla özelliğe sahip tehlikeli bir Android truva atı ile dünya çapında 450 bankanın ve kripto para birimi hizmetlerinin müşterilerini hedefliyor.
Sözde “Nexus” Android Truva Atı’nın yazarları, kötü amaçlı yazılımı, yeni duyurulan bir hizmet olarak kötü amaçlı yazılım (MaaS) programı aracılığıyla diğer tehdit aktörlerinin kullanımına sundu. kendi saldırılarında.
İtalyan siber güvenlik firması Cleafy’deki araştırmacılar, Nexus’u ilk olarak geçen Haziran ayında fark ettiler, ancak o sırada bunun bir hızla gelişen varyant “Sova” olarak izledikleri başka bir Android bankacılık Truva Atı. Amazon, Chrome, NFT ve diğer güvenilir uygulamalar olduklarını öne süren logolara sahip sahte uygulamalarda gizlenmiş varyant.
Ancak Ocak ayında Cleafy araştırmacıları, artık daha gelişmiş olan kötü amaçlı yazılımın Nexus adı altında birden çok bilgisayar korsanlığı forumunda ortaya çıktığını fark etti. Kısa bir süre sonra, kötü amaçlı yazılım yazarları, yeni MaaS programı aracılığıyla, nispeten aylık 3.000 ABD doları karşılığında kötü amaçlı yazılımı diğer tehdit aktörlerinin kullanımına sunmaya başladı.
Cleafy’nin tehdit istihbarat ekibinin başkanı Federico Valentini, tehdit aktörlerinin Nexus’u Android cihazlarda nasıl sağladığının net olmadığını söylüyor. Valentini, “Araştırmamız esas olarak davranışını ve yeteneklerini analiz etmeye odaklandığından, Nexus’un ilk enfeksiyon vektörüyle ilgili belirli ayrıntılara erişimimiz yoktu” diyor. “Ancak, benzer kötü amaçlı yazılımlarla ilgili deneyim ve bilgimize dayanarak, bankacılık truva atlarının smishing gibi sosyal mühendislik şemaları yoluyla iletilmesi yaygın bir durumdur” diyor SMS metin mesajları yoluyla kimlik avına atıfta bulunarak.
Hesap Devralma için Çoklu Özellikler
Cleafy’nin Nexus analizi, kötü amaçlı yazılımın hesapların ele geçirilmesini sağlamak için çeşitli özellikler içerdiğini gösterdi. Bunların arasında, kullanıcı kimlik bilgilerini çalmak için bindirme saldırıları gerçekleştirmek ve tuş vuruşlarını günlüğe kaydetmek için bir işlev vardır. Örneğin, bir hedef bankacılık veya kripto para birimi uygulamasının müşterisi, güvenliği ihlal edilmiş bir Android cihazı kullanarak hesabına erişmeye çalıştığında, Nexus tam olarak gerçek uygulamanın oturum açma sayfası gibi görünen ve çalışan bir sayfa sunar. Kötü amaçlı yazılım daha sonra, kurbanın oturum açma sayfasında girilen kimlik bilgilerini almak için keylogging özelliğini kullanır.
Birçok bankacılık Truva Atı gibi, Nexus da çevrimiçi hesaplara erişmek için iki faktörlü kimlik doğrulama kodlarını almak üzere SMS mesajlarını engelleyebilir. Cleafy, Nexus’un Android’in Erişilebilirlik Hizmetleri özelliğini kripto para cüzdanlarından, ilgili web sitelerinden çerezlerden ve Google’ın Authenticator uygulamasının iki faktörlü kodlarından tohum ve denge bilgileri çalmak için kötüye kullanabildiğini buldu.
Kötü amaçlı yazılım yazarları ayrıca Nexus’a, Cleafy’nin geçen yıl gözlemlediği ve başlangıçta bir Sova varyantı olduğunu varsaydığı sürümde bulunmayan yeni işlevler eklemiş görünüyor. Bunlardan biri, alınan SMS iki faktörlü kimlik doğrulama mesajlarını sessizce silen bir özellik, diğeri ise Google Authenticator 2FA kodlarını çalmak için modülü durdurma veya etkinleştirme işlevidir. En yeni Nexus varyantı ayrıca, komut ve kontrol sunucusunu (C2) güncellemeler için düzenli olarak kontrol etme ve mevcut olabilecekleri otomatik olarak yükleme işlevine sahiptir. Hâlâ geliştirilmekte olan bir modül, yazarların kötü amaçlı yazılıma bir şifreleme yeteneği uygulayabileceğini ve büyük olasılıkla bir hesap devralma işlemini tamamladıktan sonra izlerini gizleyebileceğini gösteriyor.
Nexus: Devam Eden Bir Çalışma mı?
Valentini, Cleafy’nin araştırmasının Nexus’un potansiyel olarak yüzlerce sistemi tehlikeye attığını öne sürdüğünü söylüyor. “Özellikle kayda değer olan şey, kurbanların belirli bir coğrafi bölgede yoğunlaşmış gibi görünmemesi, küresel olarak iyi bir şekilde dağılmış olmalarıdır.”
Kötü amaçlı yazılımın çevrimiçi finansal hesapları ele geçirmeye yönelik birçok işlevine rağmen, Cleafy’nin araştırmacıları Nexus’un hala devam eden bir çalışma olduğunu değerlendirdi. Güvenlik satıcısına göre bir gösterge, hata ayıklama dizelerinin varlığı ve kötü amaçlı yazılımın belirli modüllerinde kullanım referanslarının olmamasıdır. Cleafy, başka bir avantajın da, yazarların hala kötü amaçlı yazılımın gerçekleştirdiği tüm eylemleri izleme ve raporlama sürecinde olduğunu gösteren koddaki nispeten yüksek sayıda günlüğe kaydetme mesajı olduğunu söyledi.
Özellikle, mevcut avatarındaki kötü amaçlı yazılımın, saldırgana Nexus bulaşmış bir cihazın tam uzaktan kontrolünü ele geçirmesini sağlayacak bir Sanal Ağ Bilgi İşlem veya VNC modülü içermemesi dikkat çekicidir. “VNC modülü, tehdit aktörlerinin, en tehlikeli dolandırıcılık türlerinden biri olan cihaz üzerinde dolandırıcılık yapmasına izin veriyor, çünkü para transferleri kurbanlar tarafından her gün kullanılan aynı cihazdan başlatılıyor.”
Birçok Android Bankacılık Truva Atından Biri
Nexus, birkaç Android bankacılık truva atından biridir son birkaç ayda ortaya çıkan ve şu anda vahşi doğada bulunan çok sayıda benzer araca yenileri eklendi. Örneğin, bu ayın başlarında, Cyble araştırmacıları, GoatRAT adlı yeni Android kötü amaçlı yazılımının Brezilya’da yakın zamanda tanıtılan bir mobil otomatik ödeme sistemini hedef aldığını gözlemlediklerini bildirdi. Aralık 2022’de Cyble, “Godfather” olarak izlenen başka bir Android bankacılık truva atının, gelişmiş yeni karartma ve algılama önleme özellikleriyle bir aradan sonra yeniden ortaya çıktığını fark etti. Cyble siber araştırmacıları, kötü amaçlı yazılımın Google Play Store’da meşru bir yazılım gibi göründüğünü tespit etti.
Bu iki kötü amaçlı yazılım çeşidi, buzdağının neredeyse görünen kısmı bile. Bir Kaspersky analizi, 2022’de yaklaşık 200.000 yeni bankacılık truva atının ortaya çıktığını ve 2021’e göre %100’lük bir artışı temsil ettiğini gösterdi.