Yeni bir Android bankacılık truva atı, PIX ödeme platformunu kullanarak dolandırıcılık yapmak üzere Brezilya finans kurumlarına gözünü dikti.
2022 sonu ile 2023 başı arasında kötü amaçlı yazılımı keşfeden İtalyan siber güvenlik şirketi Cleafy, PixPirate adı altında izini sürüyor.
“PixPirate, en yeni nesil Android bankacılık truva atına aittir, çünkü ATS (Otomatik Transfer Sistemi), saldırganların birden fazla Brezilya bankası tarafından benimsenen Anında Ödeme platformu Pix üzerinden kötü niyetli bir para transferinin eklenmesini otomatikleştirmesini sağlıyor”, araştırmacı Francesco Iubatti ve Alessandro Strino söz konusu.
Ayrıca, Google Play Protect’i devre dışı bırakmak, SMS mesajlarına müdahale etmek, yüklemeyi kaldırmayı önlemek ve anlık bildirimler yoluyla hileli reklamlar sunmak da dahil olmak üzere hain işlevlerini yerine getirmek için işletim sisteminin erişilebilirlik hizmetleri API’sini kötüye kullanan uzun bir Android bankacılığı kötü amaçlı yazılım listesine en son eklenen kişidir.
Operasyonun arkasındaki tehdit aktörleri, kullanıcıların bankacılık uygulamalarında girdiği parolaları çalmanın yanı sıra, tersine mühendislik çabalarına direnmek için Auto.js olarak bilinen bir çerçeve kullanarak kod gizleme ve şifrelemeden yararlandı.
PixPirate’i teslim etmek için kullanılan damlalıklı uygulamalar, kimlik doğrulama uygulamaları kisvesi altına girer. Uygulamaların resmi Google Play Store’da yayınlandığına dair herhangi bir gösterge yok.
Bulgular, ThreatFabric’in PIX’i hileli fon transferleri yapmak için kötüye kullanmanın yanı sıra ATS yetenekleriyle birlikte gelen BrasDex adlı başka bir kötü amaçlı yazılımın ayrıntılarını açıklamasından bir aydan uzun bir süre sonra geldi.
“Esnek ve daha yaygın diller kullanarak (öğrenme eğrisini ve geliştirme süresini kısaltarak) mobil uygulamaların geliştirilmesine yardımcı olacak çerçevelerle eşleştirilen ATS yeteneklerinin tanıtılması, gelecekte karşılaştırılabilecek daha karmaşık kötü amaçlı yazılımlara yol açabilir. iş istasyonu muadilleri” dedi araştırmacılar.
Gelişme aynı zamanda Cyble’ın banka ve devlet uygulamaları kılığına girerek en az Temmuz 2022’den bu yana Tayland, Peru ve Filipinler’deki kullanıcıları hedefleyen Gigabud RAT kod adlı yeni bir Android uzaktan erişim truva atına ışık tutmasıyla birlikte geliyor.
Araştırmacılar, “RAT, ekran kaydı ve bankacılık kimlik bilgilerini çalmak için erişilebilirlik hizmetlerini kötüye kullanmak gibi gelişmiş özelliklere sahiptir.” söz konusubir dağıtım vektörü olarak kimlik avı sitelerini kullandığına dikkat çekiyor.
Siber güvenlik firması ayrıca açıklığa kavuşmuş InTheBox darknet pazarının arkasındaki tehdit aktörlerinin, Alien, Cerberus, ERMAC, Hydra ve Octo gibi çeşitli Android bankacılığı kötü amaçlı yazılımlarıyla uyumlu 1.894 web enjeksiyonundan oluşan bir kataloğun reklamını yaptığı.
Esas olarak kimlik bilgilerini ve hassas verileri toplamak için kullanılan web enjeksiyon modülleri, Asya, Avrupa, Orta Doğu ve Amerika’yı kapsayan bankacılık, mobil ödeme hizmetleri, kripto para borsaları ve mobil e-ticaret uygulamalarını ayırmak için tasarlanmıştır.
Ancak daha endişe verici bir değişiklikle, dolandırıcılık uygulamaları, CryptoRom adlı bir domuz kasaplığı dolandırıcılığını gerçekleştirmek için Apple App Store ve Google Play’deki savunmaları atlamanın bir yolunu buldu.
Teknik, paralarını çalmak amacıyla sahte yatırım uygulamalarını indirmeye ikna etmek için Tinder gibi flört uygulamaları yoluyla kurbanlara yaklaşmak gibi sosyal mühendislik yöntemlerinin kullanılmasını gerektirir.
Söz konusu kötü amaçlı iOS uygulamaları, her ikisi de o zamandan beri Apple tarafından kaldırılmış olan Ace Pro ve MBM_BitScan’dir. MBM_BitScan’in bir Android sürümü de Google tarafından kaldırıldı.
Keşfi yapan siber güvenlik firması Sophos, iOS uygulamalarının, kötü amaçlı yazılım yazarlarının inceleme sürecini geçmesini sağlayan bir “inceleme kaçırma tekniği” içerdiğini söyledi.
Sophos araştırmacısı Jagadeesh Chandraiah, “Bulduğumuz her iki uygulama da kötü amaçlı işlevlerini sağlamak için uzak içeriği kullandı – bu içerik, App Store incelemesi tamamlanana kadar muhtemelen gizlenmişti.” söz konusu.
Domuz kesme dolandırıcılığı Çin ve Tayvan’da başladı ve o zamandan beri son yıllarda küresel olarak genişledi. büyük operasyon yığını Laos, Myanmar ve Kamboçya’daki özel ekonomik bölgelerden yürütülmektedir.
Kasım 2022’de ABD Adalet Bakanlığı (DoJ), suçlu aktörleri beş kurbandan 10 milyon dolardan fazla netleştiren bir domuz kasaplığı kripto para birimi dolandırıcılığıyla bağlantılı olarak yedi alan adının yayından kaldırıldığını duyurdu.
