hadicanim
Aktif Üye
Fleckpe – Kaspersky, Google Play Store’da bulunan en son kötü amaçlı yazılım olarak adlandırdığı şeydir. Abonelik Truva Atı, birlikte 620.000’den fazla cihaza yüklenen 11 uygulamaya dahil edildi. Bu arada, Google kötü amaçlı uygulamaları kaldırdı. Bununla birlikte, BT adli bilim adamları, kötü niyetli aktörlerin henüz keşfedilmemiş başka uygulamalar yerleştirmiş olabileceği konusunda uyarıyor, bu nedenle gerçek enfeksiyon sayısı daha yüksek olabilir.
Android Truva Atı: Fotoğraf düzenleyici kılığına girmiş
Fleckpe kötü amaçlı yazılımı, çoğunlukla bir fotoğraf düzenleyici kılığında cihazlara gelir. Başlangıçta, kötü amaçlı bir damlalık içeren, yoğun şekilde gizlenmiş bir kitaplık yükler. Bu da uygulama bileşenlerinden gerçek kötü amaçlı rutinlerin kodunu çözer.
Analizde Kaspersky, kötü amaçlı yazılımın daha sonra dolandırıcıların Komuta ve Kontrol (C&C) sunucularıyla bağlantı kurduğunu söylemeye devam ediyor. Bunu yaparken, kurbanın menşe ülkesinin ve mobil ağ sağlayıcısının tanımlanmasına izin veren virüslü cihaz, Mobil Taşıyıcı Kodu (MCC) ve Mobil Ağ Kodu (MNC) hakkında bilgi iletir. C&C sunucusu daha sonra ücretli abonelikler içeren bir sayfa döndürür. Trojan bunu görünmez bir tarayıcıda açar ve kurban adına abonelikleri tamamlamaya çalışır.
Abonelik bir onay gerektiriyorsa, kötü amaçlı yazılım bunu bildirimlerden alır. Trojan uygulaması ilk başlatıldığında kurbandan izin ister. Kötü amaçlı yazılım onay kodunu bulduğu anda uygun alana girer ve abonelik işlemini tamamlar. Bu sırada kurbanlar, uygulamanın reklamı yapılan, örneğin fotoğrafları düzenlemek veya duvar kağıtlarını indirmek gibi işlevlerini kullanır ve kötü amaçlı yazılımın dolandırıcılık faaliyetlerinden habersizdir.
Trojan sürekli gelişiyor. Böylece programcılar, abonelik yapma kodunun da içinde olması için kitaplığı damlalık koduyla güncellemiş olacaklardı. Daha fazla şifresi çözülen kod artık yalnızca bildirimleri yakalar ve web sayfalarını görüntüler. Bir aboneliği tamamlamak için gereken yerel kod ile Android bileşenleri arasında köprü oluşturur. Kaspersky analistlerine göre bu, analizi karmaşıklaştırmak ve güvenlik araçlarıyla algılamayı karmaşık hale getirmek için yapıldı. Kitaplığın yerel kodunun aksine, şifresi çözülen kod yalnızca biraz gizlenmiştir.
BT araştırmacıları, görünüşe göre test için kullanılan Tayland’dan sabit kodlanmış MCC ve MNC kodlarını Truva Atı’nda buldular. Daha fazla sayıda uygulama incelemesi Tay dilinde yazılmaktadır. Görünüşe göre Thais, özellikle kötü amaçlı yazılım yazarlarının odak noktasındaydı. Kaspersky’nin telemetri verileri, diğerlerinin yanı sıra Polonya, Malezya, Endonezya ve Singapur’daki kurbanları da gösteriyor. Analiz ayrıca paket adları, MD5 karmaları ve C&C sunucularının adresleri gibi bir bulaşma belirtilerini (Uzlaşma Göstergeleri, IOC’ler) listeler.
BT araştırmacıları yakın zamanda, 400’den fazla finans kurumuna saldırabilen ve onlardan para çekebilen bir Android bankacılık Truva Atı’nı analiz etti.
(dmk)
Haberin Sonu
Android Truva Atı: Fotoğraf düzenleyici kılığına girmiş
Fleckpe kötü amaçlı yazılımı, çoğunlukla bir fotoğraf düzenleyici kılığında cihazlara gelir. Başlangıçta, kötü amaçlı bir damlalık içeren, yoğun şekilde gizlenmiş bir kitaplık yükler. Bu da uygulama bileşenlerinden gerçek kötü amaçlı rutinlerin kodunu çözer.
Analizde Kaspersky, kötü amaçlı yazılımın daha sonra dolandırıcıların Komuta ve Kontrol (C&C) sunucularıyla bağlantı kurduğunu söylemeye devam ediyor. Bunu yaparken, kurbanın menşe ülkesinin ve mobil ağ sağlayıcısının tanımlanmasına izin veren virüslü cihaz, Mobil Taşıyıcı Kodu (MCC) ve Mobil Ağ Kodu (MNC) hakkında bilgi iletir. C&C sunucusu daha sonra ücretli abonelikler içeren bir sayfa döndürür. Trojan bunu görünmez bir tarayıcıda açar ve kurban adına abonelikleri tamamlamaya çalışır.
Abonelik bir onay gerektiriyorsa, kötü amaçlı yazılım bunu bildirimlerden alır. Trojan uygulaması ilk başlatıldığında kurbandan izin ister. Kötü amaçlı yazılım onay kodunu bulduğu anda uygun alana girer ve abonelik işlemini tamamlar. Bu sırada kurbanlar, uygulamanın reklamı yapılan, örneğin fotoğrafları düzenlemek veya duvar kağıtlarını indirmek gibi işlevlerini kullanır ve kötü amaçlı yazılımın dolandırıcılık faaliyetlerinden habersizdir.
Trojan sürekli gelişiyor. Böylece programcılar, abonelik yapma kodunun da içinde olması için kitaplığı damlalık koduyla güncellemiş olacaklardı. Daha fazla şifresi çözülen kod artık yalnızca bildirimleri yakalar ve web sayfalarını görüntüler. Bir aboneliği tamamlamak için gereken yerel kod ile Android bileşenleri arasında köprü oluşturur. Kaspersky analistlerine göre bu, analizi karmaşıklaştırmak ve güvenlik araçlarıyla algılamayı karmaşık hale getirmek için yapıldı. Kitaplığın yerel kodunun aksine, şifresi çözülen kod yalnızca biraz gizlenmiştir.
BT araştırmacıları, görünüşe göre test için kullanılan Tayland’dan sabit kodlanmış MCC ve MNC kodlarını Truva Atı’nda buldular. Daha fazla sayıda uygulama incelemesi Tay dilinde yazılmaktadır. Görünüşe göre Thais, özellikle kötü amaçlı yazılım yazarlarının odak noktasındaydı. Kaspersky’nin telemetri verileri, diğerlerinin yanı sıra Polonya, Malezya, Endonezya ve Singapur’daki kurbanları da gösteriyor. Analiz ayrıca paket adları, MD5 karmaları ve C&C sunucularının adresleri gibi bir bulaşma belirtilerini (Uzlaşma Göstergeleri, IOC’ler) listeler.
BT araştırmacıları yakın zamanda, 400’den fazla finans kurumuna saldırabilen ve onlardan para çekebilen bir Android bankacılık Truva Atı’nı analiz etti.
(dmk)
Haberin Sonu