35’ten Fazla ABD Finans Kuruluşunu Hedefleyen Yeni Bir Çeşit

26 Eylül 2023THNMobil Güvenlik / Kötü Amaçlı Yazılım

Güncellenmiş bir versiyonu Android bankacılık truva atı isminde Ksenomorf gözünü ABD’deki 35’ten fazla finans kurumuna dikti

Hollandalı güvenlik firması ThreatFabric’e göre kampanya, kurbanları öncekilerden daha geniş bir uygulama listesini hedefleyen kötü amaçlı Android uygulamaları yüklemeye ikna etmek için tasarlanmış kimlik avı web sayfalarından yararlanıyor. Hedeflenen diğer öne çıkan ülkelerden bazıları İspanya, Kanada, İtalya ve Belçika’dır.

Şirket, “Bu yeni liste, geçen yıl tüm bankacılık kötü amaçlı yazılım aileleri arasında tutarlı olan bir eğilimin ardından ABD, Portekiz ve birden fazla kripto cüzdanından kurumlar için düzinelerce yeni katman ekliyor” dedi. söz konusu Pazartesi günü yayınlanan bir analizde.

Xenomorph, ilk olarak 2022’de ortaya çıkan Alien adlı başka bir banka kötü amaçlı yazılımının bir çeşididir. Aynı yılın ilerleyen dönemlerinde finansal kötü amaçlı yazılım, Android 13’teki güvenlik özelliklerini atlayan BugDrop adlı yeni bir damlalık yoluyla yayıldı.

Bu Mart ayının başlarında tespit edilen bir sonraki yineleme, Otomatik Transfer Sistemi (ATS) olarak bilinen sistemi kullanarak dolandırıcılık yapmaya yönelik özelliklerle donatıldı.

Bu özellik, Hadoken Security adlı operatörlerin, Android’in erişilebilirlik ayrıcalıklarını kötüye kullanarak cihazın kontrolünü tamamen ele geçirmesine ve güvenliği ihlal edilmiş cihazdan aktörlerin kontrolündeki bir hesaba yasa dışı olarak para aktarmasına olanak tanıyor.

Kötü amaçlı yazılım ayrıca, hedeflenen banka uygulamalarının üzerinde sahte oturum açma ekranları görüntüleyerek kimlik bilgileri ve kredi kartı numaraları gibi hassas bilgileri çalmak için katman saldırılarından da yararlanıyor. Kaplamalar uzak bir sunucudan URL listesi biçiminde alınır.

Başka bir deyişle, ATS çerçevesi, herhangi bir insan müdahalesine ihtiyaç duymadan kimlik bilgilerinin otomatik olarak çıkarılmasını, hesap bakiyesi bilgilerine erişilmesini, işlemlerin başlatılmasını, kimlik doğrulama uygulamalarından MFA tokenlarının alınmasını ve fon transferlerinin gerçekleştirilmesini mümkün kılar.

Araştırmacılar, “Oyuncular Samsung ve Xiaomi cihazlarını destekleyen modüller üzerinde çok çaba harcadılar” dedi. “Bu ikisinin birleşiminin tüm Android pazar payının kabaca %50’sini oluşturduğu göz önüne alındığında bu mantıklı.”

Xenomorph’un en son sürümlerine eklenen yeni özelliklerden bazıları arasında, aktif bir anlık bildirim oluşturarak telefon ekranının kapanmasını önleyen bir “uyku önleme” özelliği, belirli bir ekran koordinatında basit bir dokunuşu simüle etme seçeneği ve başka bir uygulamanın kimliğine bürünme seçeneği yer alıyor. “taklit” özelliğini kullanarak.

Kötü amaçlı yazılım, algılamayı uzun süre boyunca atlamanın bir yolu olarak, kurulum sırasında simgesini ana ekran başlatıcısından gizler. Erişilebilirlik hizmetlerinin kötüye kullanılması, güvenliği ihlal edilmiş bir cihazda engellenmeden çalışması için ihtiyaç duyduğu tüm izinleri kendisine vermesine olanak tanır.

Bankacılık truva atının önceki sürümleri, Google Play Store’da yasal uygulamalar ve yardımcı programlar gibi görünüyordu. Ancak Ağustos 2023’ün ortasında gözlemlenen en son saldırı dalgası, uygulamaları Chrome tarayıcı güncellemeleri sunan sahte siteler aracılığıyla dağıtarak işleyiş tarzını değiştiriyor.

Tehdit aktörlerinin birden fazla işletim sistemini hedef aldığını gösteren bir işaret olarak, araştırma, yük barındırma altyapısının aynı zamanda Windows çalmaya yönelik kötü amaçlı yazılımlara hizmet etmek için de kullanıldığını ortaya çıkardı: Lumma C2 Ve RiseProyanı sıra Özel Yükleyici olarak adlandırılan bir kötü amaçlı yazılım yükleyicisi.

ThreatFabric, “Xenomorph, çok yönlü ve güçlü bir ATS motoruna sahip, birden fazla üreticinin cihazını destekleme fikriyle halihazırda oluşturulmuş birden fazla modüle sahip, son derece tehlikeli bir Android bankacılık kötü amaçlı yazılımı olma statüsünü koruyor.” dedi.