Siber güvenlik araştırmacıları, İtalya ve İspanya'daki kullanıcıları hedeflemek için bir kripto para madenciliği uygulaması veya Chrome Web tarayıcısı olarak ortaya çıkan Malibot adlı yeni bir Android bankacılık kötü amaçlı yazılım keşfettiler.
Malibot, e-bankacılık hizmeti bilgileri, kripto cüzdan şifreleri ve kişisel bilgiler gibi finansal bilgileri çalmaya odaklanırken, iki faktörlü kimlik doğrulama kodlarını bildirimlerden kapabilir.
Analistleri yeni kötü amaçlı yazılımları keşfeden F5 Labs tarafından yapılan bir rapora göre, şu anda flubot operasyonunun ani kapatılmasıyla yaratılan piyasa boşluğunu kapsamayı amaçlayan birden fazla dağıtım kanalı kullanıyor.
Malibot’un Komuta ve Kontrol Sunucusu Rusya'da bulunuyor ve IP, Haziran 2020'ye kadar uzanan birkaç kötü amaçlı yazılım dağıtım kampanyasıyla ilişkilendirildi.
Malibot'un dağılımı, kripto para birimi uygulamalarını kurbanların manuel olarak indirip yükledikleri APK'lar şeklinde tanıtan web siteleri aracılığıyla gerçekleşir.
Bu dosyaları iten siteler, Google Play Store'da bir milyondan fazla indirme olan ThecryptoApp gibi gerçek projelerin klonlarıdır.
Başka bir kampanyada, kötü amaçlı yazılım madenciliği X adlı bir uygulama olarak itilir ve kurbanlar kötü amaçlı APK dosyasını indirmek için bir QR kodunu taramak için kandırılır.
Malibot operatörleri ayrıca yüklerini C2 tarafından belirlenen telefon numaralarının bir listesine dağıtmak için Sminging (SMS kimlik avı) mesajlarını kullanır. Bu mesajlar, “SMS Gönder” iznini kötüye kullanan güvenliği ihlal edilmiş cihazlardan gönderilir.
Malibot, kurulum sırasında erişilebilirliği ve başlatıcı izinlerini güvence altına alan ve daha sonra cihazda ek haklar sağlayan güçlü bir Android Truva atıdır.
Bildirimleri, SMS ve çağrıları kesebilir, ekran görüntülerini yakalayabilir, önyükleme etkinliklerini kaydedebilir ve operatörlerine bir VNC sistemi aracılığıyla uzaktan kumanda özelliklerini verebilir.
VNC, operatörlerin ekranlar arasında gezinmesine, kaydırmasına, ekran görüntüleri almasına, içeriği kopyalayıp yapıştırmasına, kaydırmasına, uzun presleri gerçekleştirmesine ve daha fazlasını yapmasına izin verir.
MFA korumalarını atlamak için, erişilebilirlik API'sını şüpheli giriş girişimleri hakkında gelen uyarılarda onay istemlerini tıklamak için kötüye kullanır, OTP'yi C2'ye gönderir ve otomatik olarak doldurur.
Ayrıca, kötü amaçlı yazılım Google Authenticator'dan MFA kodlarını çalabilir ve bu eylemi isteğe bağlı olarak gerçekleştirebilir ve kimlik doğrulama uygulamasını kullanıcıdan bağımsız olarak açabilir.
Çoğu bankacılık truva atı gibi, Malibot, kurban tarafından hangi banka uygulamalarının C2'den eşleşen kaplamaları/enjeksiyonları almak için kullanıldığını belirlemek için yüklü uygulamaların bir listesini alır. Kurban meşru uygulamayı açtığında, sahte giriş ekranı kullanıcı arayüzünün üstünde kaplanır.
F5 Labs analistleri, analizden kaçınmak için kullanılabilecek taklit ortamların tespiti gibi Malibot kodunda uygulanmamış özellikler gördüler.
Bu, gelişimin çok aktif olduğuna dair bir işarettir ve Malibot'un yeni sürümlerinin yakında dolaşıma girmesi ve muhtemelen yeni kötü amaçlı yazılımların gücünü artırması bekleniyor.
Şimdilik, Malibot, İtalyan ve İspanyol bankalarını hedefleyen kaplamaları yüklüyor, ancak Flubot'un yavaş yavaş yaptığı gibi daha fazla enjeksiyon ekleyerek kapsamını genişletebilir.
Bunu yazarken, Malibot'u dağıtan web siteleri çevrimiçi kalır, böylece kötü amaçlı dağıtım işlemi hala hemen hemen aktiftir.
İlk 10 Android Bankacılık Trojans 1 milyar indirme ile hedef uygulamalar
Clipminer Malware Gang, kripto ödemelerini kaçırarak 1.7 milyon dolar çaldı
Kötü amaçlı yazılım dağıtım seviyesi düştükçe mobil Truva Tespiti Artar
Yeni ERMAC 2.0 Android Kötü Yazılım Hesaplar, Cüzdanlar 467 Uygulamadan Çıkarıyor
Android-Wiping Brata Kötü Yazılımlar Kalıcı Bir Tehdidi'ne dönüşüyor
Kaynak: Bleeping Computer