'Bukalemun' adlı yeni bir Android Truva atı, yılın başından beri Avustralya ve Polonya'daki kullanıcıları hedef alıyor ve para kripto para birimi borsasını, bir Avustralya hükümet ajansını ve IKO Bankası'nı taklit ediyor.
Mobil kötü amaçlı yazılım, güvenliği ihlal edilmiş web siteleri, anlaşmazlık ekleri ve Bitbucket barındırma hizmetleri aracılığıyla dağıtım gördüğünü bildiren siber güvenlik firması Cyble tarafından keşfedildi.
Bukalemun, enfekte cihazdan yer paylaşımı enjeksiyonları ve anahtarlık, çerezler ve SMS metinleri yoluyla kullanıcı kimlik bilgilerini çalmak da dahil olmak üzere çok çeşitli kötü niyetli işlevler içerir.
Başlatıldıktan sonra, kötü amaçlı yazılım, güvenlik yazılımı tarafından algılamadan kaçmak için çeşitli kontroller gerçekleştirir.
Bu kontroller, cihazın kök salmış olup olmadığını ve hata ayıklamanın etkinleştirilip etkinleştirilmediğini tespit etmek için anti-emülasyon kontrollerini içerir ve uygulamanın bir analistin ortamında çalışma olasılığını artırır.
Çevre temiz görünürse, enfeksiyon devam eder ve bukalemun kurbandan, ek izinler vermesi, Google Play Protect'i devre dışı bırakması ve kullanıcının kaldırmasını engellemesi için kötüye kullanılması için erişilebilirlik hizmetini kullanmasına izin vermesini ister.
C2 ile ilk bağlantıda Chameleon, muhtemelen yeni enfeksiyonu profillemek için cihaz versiyonunu, modelini, kök durumunu, ülke ve hassas konumu gönderir.
Ardından, kötü amaçlı yazılımların hangi varlık taklit ettiğine bağlı olarak, meşru URL'sini bir web görüşüne açar ve arka plana kötü amaçlı modüller yüklemeye başlar.
Bunlar arasında bir kurabiye stealer, bir keylogger, kimlik avı sayfalarının bir enjektörü, kilit ekranı pin/desen tutucu ve tek seferlik şifreleri kapabilen ve saldırganların 2FA korumalarını atlamasına yardımcı olabilen bir SMS Stealer bulunur.
Bu veri çalma sistemlerinin çoğu, gerektiği gibi çalışmak için erişilebilirlik hizmetlerinin kötüye kullanılmasına dayanarak, kötü amaçlı yazılımların ekran içeriğini izlemesine, belirli olayları izlemesine, arayüz öğelerini değiştirmek için müdahale etmesine veya gerektiğinde belirli API çağrılarını göndermesine izin verir.
Aynı sistem hizmeti, kötü amaçlı yazılımların kaldırılmasını önlemek için de kötüye kullanılır, mağdurun kötü amaçlı uygulamayı kaldırmaya çalıştığını belirler ve paylaşılan tercih değişkenlerini artık cihazda yokmuş gibi görünmesini sağlamak için silinir.
Paylaşılan tercihler dosyalarının silinmesi, uygulamayı bir sonraki başlatıldığında C2 ile iletişimi yeniden oluşturmaya zorlar, ancak kaldırılmasını önler ve araştırmacıların analiz etmesini zorlaştırır.
Cyble ayrıca bukalemun çalışma zamanı boyunca bir yük indirmesini ve daha sonra DexClassloader aracılığıyla yürütülmesini sağlayan bir “.jar” dosyası olarak kaydetmesini sağlayan kod gözlemledi. Ancak, bu özellik şu anda kullanılmamaktadır.
Bukalemun, gelecekteki sürümlerde daha fazla özellik ve yetenek ekleyebilecek ortaya çıkan bir tehdittir.
Android kullanıcılarının cihazlarına yükledikleri uygulamalar konusunda dikkatli olmaları, yalnızca resmi mağazalardan yazılım indirmeleri ve Google Play Protect'in her zaman etkin olduğundan emin olmaları tavsiye edilir.
Android kötü amaçlı yazılım, 100 metre yükleme ile 60 Google Play uygulamalarına sızıyor
1M yüklemeli Kyocera Android uygulaması, kötü amaçlı yazılımları bırakmak için istismar edilebilir
Siber suçlular, google Play'e Android kötü amaçlı yazılım eklemek için 5 bin dolar şarj
Fakealls Android kötü amaçlı yazılım, telefonlarda gizlenmenin yeni yollarıyla döner
Xenomorph Android kötü amaçlı yazılım artık 400 bankadan veri çalıyor
Kaynak: Bleeping Computer