MaliBot, Bankacılık Kurbanlarına Saldıran Ve Kimlik Bilgilerini, Çerezleri Çalan Ve MFA Kodlarını Atlayan Bir Android Kötü Amaçlı Yazılımdır

ReusLux
3 Eyl, 2022

Google News Abone Ol

MaliBot, Bankacılık Kurbanlarına Saldıran Ve Kimlik Bilgilerini, Çerezleri Çalan Ve MFA Kodlarını Atlayan Bir Android Kötü Amaçlı Yazılımdır

F5 Labs'tan araştırmacılar MaliBot adı verilen keşfedilen bir Android kötü amaçlı yazılım türü tespit ettiler. Bu kötü amaçlı yazılım, İspanya ve İtalya'da çevrimiçi bankacılık ve kripto para cüzdanlarına erişimi olan insanları hedef alıyor.

MaliBot tarafından, büyük olasılıkla FluBot'un ani kapanmasının yarattığı pazar boşluğunu gizlemek için bir dizi dağıtım kanalı kullanılmaktadır.

Uzmanlar, birkaç bankaya karşı saldırıların başlatıldığını belgeledi ve aşağıda bu bankalar listelenmiştir:

  • UniCredit
  • Santander
  • CaixaBank
  • LetterBCC

MaliBot, Bankacılık Kurbanlarına Saldıran Ve Kimlik Bilgilerini, Çerezleri Çalan Ve MFA Kodlarını Atlayan Bir Android Kötü Amaçlı Yazılımdır

Dahası, uluslararası bir kolluk kuvveti operasyonu, kötü amaçlı yazılım keşfedilmeden iki hafta önce FluBot kötü amaçlı yazılımını ortadan kaldırmıştı.

İlgili Veriler

MaliBot, bireylerden finansal bilgileri çalmak için özel olarak tasarlanmıştır. Aşağıda MaliBot tarafından çalınan veri türlerinden bahsettik:

  • E-bankacılık hizmeti kimlik bilgileri
  • Kripto cüzdan şifreleri
  • Kişisel bilgiler
  • İki faktörlü kimlik doğrulama kodlarını ele geçirme

Çoğu durumda, MaliBot, bir kullanıcının kripto para birimi cüzdanlarına erişmek için kendisini Mining X veya The CryptoApp gibi kripto para madenciliği uygulamaları olarak gizler. Sahte web sitelerinin yardımıyla, bu uygulamaların operatörleri, potansiyel kullanıcıları indirmeye ikna etmek için bu uygulamaları teşvik eder.

MaliBot'un Özellikleri

MailBot tarafından kullanılan merkezi komuta ve kontrol sunucusu (C2) Rusya'da bulunmaktadır. Ve sadece bu değil, bu C2 sunucusu bile, tehdit aktörleri tarafından daha önce Sality kötü amaçlı yazılımını yaymak için kullanılan sunucuyla aynıdır.

Haziran 2020'den bu yana, bu IP adresi çok sayıda kampanya üretti. Kötü amaçlı yazılım, SOVA kötü amaçlı yazılımının farklı işlevlere ve yeteneklere sahip güncellenmiş ve yeniden çalışılmış bir sürümüdür.

MaliBot'un yetenekleri oldukça geniştir ve bunları aşağıdaki listede listeledik:

  • Web enjeksiyon ve bindirme saldırıları
  • Kripto para cüzdanlarının çalınması (Binance, Trust)
  • MFA/2FA kodlarının çalınması
  • Çerezlerin çalınması
  • SMS mesajlarının çalınması
  • Google'ın iki adımlı kimlik doğrulamasını atlama yeteneği
  • Cihaza VNC erişimi ve ekran yakalama
  • Uygulamaları isteğe bağlı olarak çalıştırma ve silme yeteneği
  • İsteğe bağlı SMS mesajları gönderme yeteneği
  • Cihazdan bilgi toplama
  • Başarılı veya başarısız işlemlerin, telefon etkinliklerinin ve hataların kapsamlı bir şekilde günlüğe kaydedilmesi

Virüslü cihazları uzaktan kontrol etmenin yanı sıra, kötü amaçlı kod bir VNC sunucusu yüklemek ve virüslü cihazlara uzaktan bağlanmak için de kullanılabilir.

Sahte web sitelerinin yanı sıra tehdit aktörleri, kullanıcıları kötü amaçlı yazılımı indirmeye ikna etmek için SMS kimlik avı mesajları (smishing) tekniğini de kullanır.

MaliBot'un şimdilik İtalya ve İspanya'daki bankacılık kurumlarını hedef alan kaplamalar yüklediği görülüyor.

Daha fazla enjeksiyon ekleme yeteneği, geliştikçe daha sonra eklenecektir, tıpkı FluBot'un ilerledikçe yavaş yavaş yeni enjeksiyonlar eklemesi gibi.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.

Kaynak: Cyber Security News

Sonraki Gönderi Önceki Gönderi
Yorum yok
Yorum Ekle
comment url