Bir tehdit istihbarat firması, Türkçe konuşanları hedef aldığı görülen kötü amaçlı bir Android programının örneklerini keşfetti. Program ekran görüntüleri alabilir, tuş vuruşlarını yakalayabilir ve kullanıcıları hassas bilgiler girmeye kandırabilen özel katmanlar (Web enjeksiyonları olarak da bilinir) oluşturabilir.
Siber tehdit istihbarat firması Intel 471, 1 Ağustos’ta yayınladığı raporda, BlankBot adlı Truva Atı’nın aktif olarak geliştirildiğine ve önemli sayıda kod varyantı ve günlük dosyasından yola çıkılarak, VirusTotal’da barındırılan kötü amaçlı yazılım tarayıcıları tarafından büyük ölçüde tespit edilemediğine işaret etti. Truva Atı’nın geliştiricileri, hesap sayfalarını taklit etmek ve diğer katmanları üretmek için herkese açık kütüphaneler kullanıyor ve siber suçluların karmaşıklığına dair başka işaretler gösteriyordu. Intel 471’in analistleri, isimlerinin açıklanmasını istemediler ve bir e-posta röportajında böyle söylediler.
“Geliştiriciler deneyimli Android uygulama geliştiricileri gibi görünüyor ve ayrıca ATO’yu anladıklarını da gösteriyorlar [account takeover] “işletme,” dediler. “Bu kütüphaneler, kötü amaçlı yazılım operatörlerinin gerçek finansal uygulamaları daha yakından taklit etmelerine ve kusursuz, otantik görünümlü bir kimlik avı sayfası oluşturmalarına olanak tanır, bu da bir kullanıcının tüm adımları izlemesini ve hassas bilgilerini vermesini daha olası hale getirir.”
Bu noktada, grubun Türkiye’yi hedef almasının nedeni belirsiz, şirket söyledi. Son yıllarda Türkiye, özellikle ulus-devlet casusluk grupları olmak üzere siber saldırganların hedefi haline geldi. Hindistan’ın SideWinder grubu Türkiye’deki bireyleri hedef aldı — grubun Pakistan gibi bölgesel rakiplerine yönelik tipik hedeflerine ek olarak — Çin’in APT41’i küresel nakliye, teknoloji ve otomotiv endüstrilerini hedef alırken, Türkiye’dekiler de dahil.
Bu arada ülke kendi siber yeteneklerini geliştiriyor. Türkiye bağlantılı bir grup Kürt muhalif grupları hedef aldı Avrupa, Orta Doğu ve Kuzey Afrika genelinde, Türkiye’deki bir diğer siber suçlu grubu ise kurumsal veritabanlarını hedefleme ABD, Avrupa ve Latin Amerika’da fidye yazılımlarıyla.
Geliştirme Aşamasındaki Kötü Amaçlı Yazılım
Kötü amaçlı uygulama geliştirilme aşamasında gibi görünüyor ancak halihazırda bir dizi özelliğe sahip. Diğer Android kötü amaçlı yazılımları gibi BlankBot da izin istiyor ve ardından Android’in erişilebilirlik özelliklerini kullanarak cihazın kontrolünü ele geçiriyor. Kontrol altına alındığında, kötü amaçlı yazılım ekranı MediaProjection API’si aracılığıyla kaydedebiliyor ve kayıt JPEG görüntüleri olarak kaydediliyor ve ardından uzak bir sunucuya gönderiliyor.
Nispeten nadir bir teknikte, kötü amaçlı yazılım ayrıca giriş için kendi klavyesini oluşturur, böylece uygulama kullanıcı tuş vuruşu girişini daha kolay yakalayabilir. BlankBot ayrıca kullanıcı adları, parolalar, PIN kombinasyonları ve kredi kartı bilgileri gibi çeşitli hassas kimlik bilgileri için veri girişi sayfalarını taklit eden ekranlar oluşturmak için CompactCreditInput ve Pattern Locker View adlı iki açık kaynaklı kütüphane kullanır. Intel 471, danışma raporunda şunları belirtti:.
Son olarak şirket, erişilebilirlik hizmetlerini kullanarak kötü amaçlı yazılımın parmak kaydırma hareketlerini taklit ederek belirli özellikleri kontrol edebildiğini söyledi.
“Tehdit aktörleri, tıklamalar veya kaydırmalar gibi desteklenen farklı hareket türleriyle cihazı uyandırıp uzaktan kontrol ederek cihazda dolandırıcılık (ODF) gerçekleştirebilir,” diye belirtiliyor tavsiyede. “Ek olarak, BlankBot, önceki bölümde açıklandığı gibi katmanlar oluşturma ve kişileri, SMS metinlerini ve yüklü uygulamaların bir listesini toplama yeteneğine sahiptir.”
Siber Suçlara Odaklı
Kötü amaçlı yazılımın kökeni hala bir soru işareti. Türkiye bağlantılı gruplar ülkenin rakiplerine karşı karmaşık saldırılardan kaçınmamış olsa da Intel 471 analistleri, kötü amaçlı yazılımın siber suç yoluyla finansal kazanç elde etmeyi hedeflemesinin daha olası olduğunu söylüyor.
Analistler bir e-posta röportajında, “Bu kötü amaçlı yazılımın casusluk için yazılmadığından oldukça eminiz çünkü popüler finansal uygulamalar için katmanlar gibi finansal kazanç için hesap ele geçirmek için gereken tüm özelliklere sahip,” dedi. “Bu özelliklerden bazılarının casusluk amaçları için kullanımı sınırlıdır ancak kötü amaçlı yazılımın kötü amaçlı yazılım önleme ürünleri tarafından tespit edilme olasılığını artırır.”
Ancak kötü amaçlı yazılımın, kod gizleme ve emülatörde çalışıp çalışmadığını tespit etme gibi anti-analiz yetenekleri de bulunuyor.
Intel 471, yayınladığı duyuruda, kodda Türkçe dil dizelerinin yer aldığını ancak zararlı yazılımın kolaylıkla yerelleştirilerek diğer kullanıcıları hedef alabileceğini ve diğer kurumları taklit edebileceğini belirtti.
“[N]”Analizimiz sırasında hedef olarak belirli finans kuruluşları belirlendi, dolayısıyla bu kötü amaçlı yazılımın farklı ülkelerdeki kullanıcılara yönelik kampanyalarda dağıtılması mümkün olabilir” denildi.
