Bukalemun Android bankacılık Truva Atı tehdit sahnesine geri döndü, yeni Android güvenlik atlama özellikleriyle donatılmış. Kötü amaçlı yazılım, bir müşteri ilişkileri yönetimi (CRM) uygulaması gibi davranıyor ve iki kıtadaki misafirperverlik sektöründeki çalışanları ve diğer iş çalışanlarını hedef alıyor.
Threat Fabric araştırmacıları açıkladı cihaz ele geçirme Truva Atı’nın Kanada ve Avrupa genelinde “konaklama sektörü çalışanlarını ve potansiyel olarak genel olarak B2C işletme çalışanlarını” hedef aldığı belirtiliyor. Araştırmacılar, yeni varyantın Android 13+ AccessibilityService kısıtlamalarını aşabilen bir damlalık kullandığını söylüyor.
Threat Fabric’e göre, Truva atı, küresel çapta faaliyet gösteren Kanada’daki popüler bir restoran zincirini hedef alarak kurumsal banka hesaplarına erişmeyi hedefliyor ve bu durum, ihlal edilen kuruluşlar için “önemli bir risk” oluşturuyor.
Threat Fabric’in blog yazısına göre, “Bu son kampanya sırasında maskelemenin tercih edilmesinin muhtemel nedeni, CRM ile ilgili rollere sahip çalışanlar için bu tür bir erişimin olasılığının artmasıdır.”
Araştırmacılar ayrıca, Chameleon’un kötü amaçlı yazılımın yeniden canlanmasının bir parçası olarak kurbanların bankaları tarafından yayınlanan bir güvenlik sertifikasını yüklemek için bir güvenlik uygulaması gibi davrandığı, “belirli finansal kuruluşların müşterilerini” hedef alan saldırılara dair kanıtlar da görüyorlar.
Şekil Değiştiren Kötü Amaçlı Yazılım
Güvenlik araştırmacıları, adını birden fazla yeni komut aracılığıyla ortamına uyum sağlama yeteneğinden alan Chameleon’u ilk olarak Aralık 2022/Ocak 2023 civarında, bir çalışma aşamasındaki en erken haliyle ortaya çıktığında tespit ettiler. Geçtiğimiz yılın sonlarında bir görünüm hariç önemli ölçüde daha fazla özelliğe sahip bir varyant bu olabilir biyometrik güvenliği atlatmakkötü amaçlı yazılım radarın altında uçuyor.
Şimdi ise Android işletim sistemine ayak uydurmak için operatörlerinin kötü amaçlı yazılımları nasıl değiştirdiğini gösteren yeni özelliklerle bir kez daha evrim geçirdi ve gelişmiş güvenlik özellikleriyle güçlendirildi.
Threat Fabric gönderisine göre, “En önemlisi, Truva atının atlama yeteneği Android 13+ kısıtlamaları, geçmişte yaptığımız öngörüyü bir kez daha kanıtlıyor; bu yetenek modern bankacılık Truva atları için olmazsa olmaz hale geldi.”
Bukalemun’un BrokewellDropper’ın kullanımı teslimat bu bypass için önemlidir; aslında, Threat Fabric’e göre, kapsamlı bir cihaz ele geçirme yeteneklerine sahip olan dropper’ın kaynak kodunun sızdırılmasından bu yana, daha fazla tehdit aktörü artık Android işletim sisteminde güvenlik bypass’ına erişebiliyor.
Trojan’ın Son Kılık Değiştirmesi
Bukalemun’un en son kılığı Truva atını izleyen güvenlik araştırmacıları için bu bir sürpriz olmamalı, çünkü kötü amaçlı yazılım, diğer Truva atları gibi, tarihsel olarak taklit etti güvenilir uygulamalar. Daha önce Chameleon, Avustralya Vergi Ofisi (ATO) veya Polonya’daki popüler bankacılık uygulamalarından biri gibi kurumlardan kullanıcı cihazlarından veri çalmak için bir uygulama olarak gizlenmişti.
Yüklendikten sonra, damlalık, bir CRM oturum açma sayfası gibi görünen sahte bir sayfa görüntüler ve çalışan kimliğini ister. Daha sonra, aslında Android AccessibilityService kısıtlamalarını yükleyen ve aşan Chameleon olan uygulamayı yeniden yüklemeyi isteyen bir mesaj görüntüler. Yüklemeden sonra, Truva atı, çalışanın kimlik bilgilerini isteyen sahte bir web sitesini tekrar yükler. Threat Fabric’e göre, gönderildiğinde uygulama bir hata sayfası görüntüler.
Chameleon bir cihazda arka planda çalışmaya devam eder, bu da tuş kaydı kullanarak bir kullanıcıdan diğer kimlik bilgilerini ve hassas bilgileri de toplayabileceği anlamına gelir. Gönderiye göre “Bu tür bilgiler daha sonraki saldırılarda kullanılabilir veya aktörler bunu yeraltı forumlarında satarak paraya çevirebilir.”
Daha Karmaşık Saldırılar
En son Chameleon kampanyası şunu gösteriyor: Truva atı kullanan siber suçlular Threat Fabric’e göre, bireysel mobil kullanıcıların bankacılık kimlik bilgilerinin ötesinde daha büyük varlıkları hedeflemenin yeni ve yenilikçi yollarını buluyorlar. Bu, tüm kuruluşları gelişen mobil tehdit ortamına karşı yüksek alarma geçirmelidir.
Yazıda, “Özellikle küçük ve orta ölçekli işletmeler için bankacılık ürünlerinin sayısının artması ve bunlara mobil üzerinden erişimin kolaylığı göz önüne alındığında, siber suçluların bu tür mobil cihazları ve kullanıcılarını hedef alan yaklaşımı daha fazla keşfetmelerini bekleyebiliriz” denildi.
Threat Fabric’e göre, bu tehditlerle mücadele etmek için finansal kuruluşlar, işletme müşterilerini Chameleon gibi mobil bankacılık kötü amaçlı yazılımlarının potansiyel etkisi ve bu kötü amaçlı uygulamaların getirebileceği sonuçlar hakkında eğitmek için önleyici tedbirler alabilir. Dahası, müşterilerin finansal hesaplarına ilişkin görünürlükleri göz önüne alındığında, bankalar hesapları tehlikeye atmadan önce tehditleri durdurmak için etkinlik ve davranıştaki anormallikleri tespit etmede daha proaktif olmalıdır.