bencede
New member
Fleckpe – Kaspersky, Google Play Store’da bulunan en son kötü amaçlı yazılıma böyle diyor. Abonelik truva atı, birlikte 620.000’den fazla cihaza yüklenen 11 uygulamaya dahil edildi. Bu arada, Google kötü uygulamaları kaldırdı. Bununla birlikte, adli BT bilim adamları, kötü niyetli aktörlerin keşfedilmemiş diğer uygulamalara girmiş olabileceği konusunda uyarıyor, bu nedenle gerçek enfeksiyon sayısı daha yüksek olabilir.
Android Truva Atı: Fotoğraf düzenleyici kılığına girmiş
Fleckpe kötü amaçlı yazılımı çoğunlukla fotoğraf düzenleyici kılığında cihazlara gelir. Başlangıçta, kötü amaçlı bir damlalık içeren, yoğun şekilde gizlenmiş bir kitaplık yükler. Bu da, uygulamanın bileşenlerinden gelen gerçek kötü amaçlı rutinlerin şifresini çözer.
Analizde Kaspersky, kötü amaçlı yazılımın daha sonra dolandırıcıların Komuta ve Kontrol (C&C) sunucularıyla bağlantı kurduğunu söylemeye devam ediyor. Bunu yaparken, mağdurun menşe ülkesini ve mobil ağ operatörünü tanımlamayı mümkün kılan, virüslü cihaz, Mobil Taşıyıcı Kodu (MCC) ve Mobil Ağ Kodu (MNC) hakkında bilgi iletir. C&C sunucusu daha sonra ücretli üyelikler içeren bir sayfa döndürür. Trojan, onu görünmez bir tarayıcıda açar ve kurban adına abonelikleri tamamlamaya çalışır.
Abonelik onay gerektiriyorsa, kötü amaçlı yazılım bunu bildirimlerden alır. Trojan uygulaması ilk başlatıldığında kurbandan izin ister. Kötü amaçlı yazılım onay kodunu bulduğu anda uygun alana girer ve abonelik işlemini tamamlar. Bu sırada kurbanlar, uygulamanın reklamı yapılan, örneğin fotoğrafları düzenlemek veya duvar kağıtlarını indirmek gibi işlevlerini kullanır ve kötü amaçlı yazılımın dolandırıcılık faaliyetlerinden habersizdir.
Trojan sürekli gelişiyor. Böylece programcılar, abonelikleri yapacak kodun da olması için kitaplığı damlalık koduyla güncelleyecekti. Daha fazla şifresi çözülen kod artık yalnızca bildirimleri yakalar ve web sayfalarını görüntüler. Bir aboneliği tamamlamak için gereken yerel kod ile Android bileşenleri arasında köprü oluşturur. Kaspersky analistlerine göre bu, güvenlik araçlarıyla analizi karmaşıklaştırmak ve algılamayı karmaşık hale getirmek için yapıldı. Kitaplığın yerel kodunun aksine, şifresi çözülmüş kod yalnızca biraz karartılmıştır.
BT araştırmacıları, truva atında görünüşe göre test için kullanılan Tayca kodlanmış MCC ve MNC kodları buldu. Tay dilinde daha fazla uygulama incelemesi yazılmaktadır. Görünüşe göre Thais, özellikle kötü amaçlı yazılım yazarlarının odak noktasındaydı. Kaspersky’nin telemetri verileri, diğerlerinin yanı sıra Polonya, Malezya, Endonezya ve Singapur’daki ölümleri de gösteriyor. Tarama ayrıca paket adları, MD5 karmaları ve C&C sunucu adresleri gibi bir bulaşma belirtilerini (uzlaşma göstergeleri, IOC’ler) listeler.
BT araştırmacıları kısa bir süre önce, 400’den fazla finans kurumuna saldırabilen ve onlardan para çekebilen bir Android bankacılık truva atını analiz etti.
(dmk)
Haberin Sonu
Android Truva Atı: Fotoğraf düzenleyici kılığına girmiş
Fleckpe kötü amaçlı yazılımı çoğunlukla fotoğraf düzenleyici kılığında cihazlara gelir. Başlangıçta, kötü amaçlı bir damlalık içeren, yoğun şekilde gizlenmiş bir kitaplık yükler. Bu da, uygulamanın bileşenlerinden gelen gerçek kötü amaçlı rutinlerin şifresini çözer.
Analizde Kaspersky, kötü amaçlı yazılımın daha sonra dolandırıcıların Komuta ve Kontrol (C&C) sunucularıyla bağlantı kurduğunu söylemeye devam ediyor. Bunu yaparken, mağdurun menşe ülkesini ve mobil ağ operatörünü tanımlamayı mümkün kılan, virüslü cihaz, Mobil Taşıyıcı Kodu (MCC) ve Mobil Ağ Kodu (MNC) hakkında bilgi iletir. C&C sunucusu daha sonra ücretli üyelikler içeren bir sayfa döndürür. Trojan, onu görünmez bir tarayıcıda açar ve kurban adına abonelikleri tamamlamaya çalışır.
Abonelik onay gerektiriyorsa, kötü amaçlı yazılım bunu bildirimlerden alır. Trojan uygulaması ilk başlatıldığında kurbandan izin ister. Kötü amaçlı yazılım onay kodunu bulduğu anda uygun alana girer ve abonelik işlemini tamamlar. Bu sırada kurbanlar, uygulamanın reklamı yapılan, örneğin fotoğrafları düzenlemek veya duvar kağıtlarını indirmek gibi işlevlerini kullanır ve kötü amaçlı yazılımın dolandırıcılık faaliyetlerinden habersizdir.
Trojan sürekli gelişiyor. Böylece programcılar, abonelikleri yapacak kodun da olması için kitaplığı damlalık koduyla güncelleyecekti. Daha fazla şifresi çözülen kod artık yalnızca bildirimleri yakalar ve web sayfalarını görüntüler. Bir aboneliği tamamlamak için gereken yerel kod ile Android bileşenleri arasında köprü oluşturur. Kaspersky analistlerine göre bu, güvenlik araçlarıyla analizi karmaşıklaştırmak ve algılamayı karmaşık hale getirmek için yapıldı. Kitaplığın yerel kodunun aksine, şifresi çözülmüş kod yalnızca biraz karartılmıştır.
BT araştırmacıları, truva atında görünüşe göre test için kullanılan Tayca kodlanmış MCC ve MNC kodları buldu. Tay dilinde daha fazla uygulama incelemesi yazılmaktadır. Görünüşe göre Thais, özellikle kötü amaçlı yazılım yazarlarının odak noktasındaydı. Kaspersky’nin telemetri verileri, diğerlerinin yanı sıra Polonya, Malezya, Endonezya ve Singapur’daki ölümleri de gösteriyor. Tarama ayrıca paket adları, MD5 karmaları ve C&C sunucu adresleri gibi bir bulaşma belirtilerini (uzlaşma göstergeleri, IOC’ler) listeler.
BT araştırmacıları kısa bir süre önce, 400’den fazla finans kurumuna saldırabilen ve onlardan para çekebilen bir Android bankacılık truva atını analiz etti.
(dmk)
Haberin Sonu