Cihazınızı Tamamen Kontrol Eden Android Bankacılık Kötü Amaçlı Yazılımlarına Dikkat Edin
Saldırganların cihaz içi dolandırıcılık yapmalarını sağlamak için uzaktan erişim özelliklerini kullanan bir Android bankacılık kötü amaçlı yazılımı olan Octo, vahşi doğada tanımlandı ve savunmasız Android cihazlarda avlanmak üzere tasarlandı.
Android'i vuran Octo kötü amaçlı yazılımı, 2018'de uzaydan çıkmadan önce siber suçlular tarafından kullanılan ve kaynak kodunda önemli bir sızıntı yaratan Exo truva atı tabanlı bir kötü amaçlı yazılım olan ExoCompact'ın bir varyasyonudur.
Birkaç kullanıcının, bu varyantı darknet forumlarında satın almak istediği tespit edildi ve birkaç kullanıcının orada satın aldığını gözlemleyen ThreatFabric araştırmacıları tarafından tespit edildi.
ExobotCompact'ın uzmanlar tarafından yakın zamanda keşfedilen kötü amaçlı yazılım türüyle doğrudan ilişkili olduğu kanıtlanmıştır. Tehdit, ThreatFabric'in MTI Portalı'nda ExobotCompact.B olarak adlandırılırken, ilk olarak solucan olarak tanımlandı.
Kasım 2021'de, ExobotCompact sistemindeki birkaç güncelleme yinelemesinin ardından ExobotCompact.D varyantı tanıtıldı ve bu, ExobotCompact'ın en son döngüsü (loop).
Octo Kötü Amaçlı Yazılımın Yetenekleri
ExoCompact ile karşılaştırıldığında, Octo birçok gelişmiş özellik ile birlikte gelir. Güvenliği ihlal edilmiş Android cihazı uzaktan kontrol ederek, tehdit aktörleri Octo'nun uzaktan erişim modülünü kullanarak cihazda sahtekarlık (ODF) gerçekleştirebilir.
Aşağıda Octo'nun yeteneklerinden bahsettik:
- Diğer uygulamaları değiştirme.
- Parola yönetimi uygulamalarını tehlikeye atma.
- Kripto cüzdan uygulamalarını tehlikeye atma.
- Bankacılık uygulamalarından ödün verme.
- 2FA uygulamalarını tehlikeye atma.
- Oyun girişlerini tehlikeye atma.
Saldırılarının bir parçası olarak, Octo kurbanın uzak operasyonlarını siyah bir ekran kaplamasının arkasına gizler ve bu oturum sırasında saldırgan aşağıdaki iki önemli şeyi gerçekleştirir:
- Rahatsız etmeyin modunu (no interruption mode) etkinleştirir.
- Ekran parlaklığını sıfıra indirir
Kötü amaçlı yazılımlar, kurbanın farkında olmadan, cihazın kapalı görünmesini sağlayarak çeşitli görevleri yerine getirebilir ve burada görevlerden bahsettik:
- Ekran dokunuşları
- Hareket etme (Gestures)
- Metin yazma
- Pano modifikasyonu
- Veri yapıştırma (Data pasting)
- Yukarı kaydırma
- Aşağı kaydırma
Desteklenen Komutlar
Octo'nun çok çeşitli komutları desteklenmektedir ve burada aşağıda belirtilmiştir:
- Belirtilen uygulamalardan, push bildirimlerini engelleme.
- SMS dinlemeyi etkinleştirme.
- Sesi devre dışı bırakma.
- Cihazın ekranını kilitlemek için geçici olarak devre dışı bırakma.
- Belirli bir uygulamayı başlatma.
- Uzaktan erişim oturumunu başlatma.
- Uzaktan erişim oturumunu durdurma.
- C2'lerin listesini güncelleme.
- Atanan URL'leri açma.
- Seçilen bir numaraya atanmış metni içeren SMS gönderme.
Kampanyalar ve Aktörler
‘Architect’ or ‘good luck’ takma adı, bir tehdit aktörü tarafından Rusça XSS hack forumu gibi popüler forumlarda Octo satmak için kullanılır. Octo ile potansiyel aboneler arasında İngilizce yazılmış yayınlar arasında belirgin bir fark olmuştur. Çoğu yazının Rusça yazıldığı XSS ile karşılaştırıldığında.
Octo'nun 'Architect' ya ExoCompact kaynak kodunu koruyan aynı yazar olduğuna ya da yeni bir sahip tarafından satın alındığına inanılıyor.
ThreatFabric'teki siber güvenlik analistleri, Octo ve ExoCompact arasında aşağıdakiler gibi birkaç benzerlik olduğunu iddia etti:
- Google Protect devre dışı bırakma işlevi
- Tersine mühendislik koruma sistemi
ExoCompact ayrıca daha basit olmasına rağmen bir uzaktan erişim modülü içerir ve komutları gecikmeli bir zamanda yürütmek için seçenekler sunar ve Octo'nun yaptığı gibi benzer yönetim seçenekleri sunar.
Son zamanlarda, "Fast Cleaner" adlı bir uygulama, Google Play'de Octo içeren cihazlara virüs bulaştırdı. Uygulama, Şubat 2022'de keşfedilmeden ve kaldırılmadan önce 50.000 yükleme yaptı.
Virüslü Uygulamalar
Burada, Octo kötü amaçlı yazılımını içeren bilinen Android uygulamalarının listesinden bahsettik:
- Pocket Screencaster (com.moh.screen)
- Fast Cleaner 2021 (vizeeva.fast.cleaner)
- Play Store (com.restthe71)
- Postbank Security (com.carbuildz)
- Pocket Screencaster (com.cutthousandjs)
- BAWAG PSK Security (com.frontwonder2)
- Play Store app install (com.theseeye5)
Bir cihazın ekranında görüntülenen tüm bilgiler, virüs bulaştıktan sonra kötü amaçlı yazılım varyantları tarafından erişilebilir hale gelir, bu da hiçbir bilginin güvenli olmadığı ve herhangi bir koruyucu önlemin etkisiz olduğu anlamına gelir.
Böyle bir durumda, kullanıcıların farkında olmaları ve Play Protect'i etkinleştirerek akıllı telefonlarında sınırlı sayıda uygulama tuttuklarından emin olmaları son derece önemlidir.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News