Araştırmacıların 'Bingomod' dediği yeni bir Android kötü amaçlı yazılım, cihaz içi sahtekarlık tekniğini kullanarak kurbanların banka hesaplarından başarılı bir şekilde para çaldıktan sonra cihazları silebilir.
Metin mesajları ile tanıtılan kötü amaçlı yazılım, meşru bir mobil güvenlik aracı olarak poz verir ve işlem başına 15.000 Eur'a kadar çalabilir.
Analiz eden araştırmacılara göre, Bingomod şu anda aktif gelişme altındadır ve yazarı, algılama oranını düşürmek için kod gizleme ve çeşitli kaçırma mekanizmaları eklemeye odaklanmaktadır.
Çevrimiçi dolandırıcılık yönetimi ve önleme çözümü olan Cleafy'deki araştırmacılar, Bingomod'un smaching (SMS kimlik avı) kampanyalarına dağıtıldığını ve tipik olarak bir mobil güvenlik aracını (örn. Uygulama koruması, antivirüs temizleme, krom güncelleme, Infoweb, Sicurezzezweb, gösteren çeşitli isimler kullandığını buldular. WebSecurity, WebSinfo, WebInfo ve Apkappscudo).
Bir örnekte, kötü amaçlı yazılım, Google Play'de bulunan ücretsiz AVG Antivirüs ve Güvenlik aracı için simgeyi kullanır.
Kurulum rutini sırasında, kötü amaçlı yazılım, cihazın kapsamlı kontrolüne izin veren gelişmiş özellikler sağlayan erişilebilirlik hizmetlerini kullanma izni ister.
Etkin olduktan sonra, Bingomod giriş kimlik bilgilerini çalar, ekran görüntüleri alır ve SMS mesajlarını keser.
Ayakta sahtekarlık (ODF) gerçekleştirmek için, kötü amaçlı yazılım, komut almak için soket tabanlı bir kanal oluşturur ve neredeyse gerçek zamanlı uzaktan çalışmayı sağlayan ekran görüntüleri beslemesi göndermek için HTTP tabanlı bir kanal oluşturur.
ODF, kurbanın cihazından hileli işlemleri başlatmak için kullanılan yaygın bir tekniktir, bu da kimlik doğrulaması ve kimlik doğrulamasına dayanan standart önleme karşıtı sistemleri kandırır.
Cleafy araştırmacıları bugün bir raporda "VNC rutininin Android'in medya projeksiyon API'sını gerçek zamanlı ekran içeriği elde etmek için kötüye kullandığını açıklıyor. Bir kez alındıktan sonra, bu uygun bir formata dönüştürüldü ve HTTP yoluyla TAS '[tehdit oyuncusu] altyapısına iletildi."
Rutinin bir özelliği, "kullanıcıyı taklit etmek ve medya projeksiyon API'sı tarafından maruz kalan ekran döküm isteğini etkinleştirmek" için erişilebilirlik hizmetlerinden yararlanabilmesidir.
Uzak operatörlerin Bingomod'a gönderebileceği komutlar, belirli bir alana tıklamayı, belirli bir giriş öğesine metin yazmayı ve bir uygulamayı başlatmayı içerir.
Kötü amaçlı yazılım ayrıca, tehdit oyuncusu tarafından başlatılan sahte bildirimler aracılığıyla manuel kaplama saldırılarına izin verir. Ek olarak, Bingomod ile enfekte olmuş bir cihaz, kötü amaçlı yazılımları SMS yoluyla daha da yaymak için de kullanılabilir.
Bingomod, tehdit oyuncunun bir komutta belirttiği uygulamaların kurbanın cihazından veya blok etkinliklerinden güvenlik çözümlerini kaldırabilir.
Tespitten kaçınmak için, kötü amaçlı yazılım oluşturucuları, Virustotal üzerindeki tarama sonuçlarına dayanarak amaçlanan hedefe ulaşan kod düzlem ve dize gizleme katmanları eklediler.
Kötü amaçlı yazılım cihaza bir cihaz yöneticisi uygulaması olarak kaydedilmişse, operatör sistemi silmek için bir uzaktan komut gönderebilir. Araştırmacılara göre, bu işlev sadece başarılı bir transferden sonra yürütülür ve sadece harici depolamayı etkiler.
Tam bir silme için, tehdit oyuncusunun tüm verileri silmek ve telefonu sistem ayarlarından sıfırlamak için uzaktan erişim özelliğini kullanması mümkündür.
Bingomod şu anda 1.5.1 sürümünde olmasına rağmen, Cleafy bunun erken bir geliştirme aşamasında olduğunu söylüyor.
Koddaki yorumlara dayanarak, araştırmacılar Bingomod'un bir Romen geliştiricisinin işi olabileceğine inanıyorlar. Bununla birlikte, diğer ülkelerden geliştiricilerin katkıda bulunması da mümkündür.
Rafel Rat fidye yazılımı saldırılarında modası geçmiş Android telefonları hedefliyor
Masif SMS Stealer kampanyası, 113 ülkede Android Cihazları Enfekte
Android Spyware 'Mandrake' 2022'den beri Google Play'deki uygulamalarda gizli
Telegram Zero-Day, video olarak kötü niyetli Android APK'ların gönderilmesine izin verdi
Google Pixel 6 Serisi Telefonlar Fabrika Sıfırlamasından Sonra Tuğla
Kaynak: Bleeping Computer