Elibomi Android Malware

Yeni bir kimlik avı Android kötü amaçlı yazılım ailesi, siber suçlular tarafından canlı saldırılarda kullanıldığı tespit edildi. Tehdit, ona Elibomi adını veren araştırmacılar tarafından keşfedildi. Tehdit, kurbanlarından bilgi toplamak ve bilgisayar korsanlarının kontrolü altındaki sunuculara sızdırmak için sosyal mühendislik taktiklerine ve sahte Android uygulamalarına dayanıyor.

İlk Elibomi Saldırısı

Elibomi tehdidini içeren ilk saldırı 2020'nin sonlarında gerçekleşti. Tehdit aktörleri, kurbanlarının cihazlarına sahte bir 'BT Sertifikası' uygulaması teslim etti. Silahlaştırılmış uygulama, cihazı var olmayan bir sunucuyla doğruluyormuş gibi yapan bir BT sertifika yönetim modülünü taklit etti. Uygulama, SMS izinlerinin yanı sıra yönetici ayrıcalıkları almayı ister. İkincisi, herhangi bir kaldırma girişimini daha zor hale getirmek için muhtemelen kötüye kullanılıyor. Kurbanlara arka planda hayali bir 'Güvenlik Taraması' sunulurken, uygulama e-postalar, telefon numaraları, saklanan SMS/MMS mesajları ve daha fazlası gibi hassas bilgileri topluyor.

İkinci Elibomi Saldırısı

Elibomi tehdidini kullanan daha yakın tarihli kampanya, Hintli vergi mükelleflerini hedef aldı. Bilgisayar korsanları, sahte uygulamalarının kimliğini değiştirdi ve şimdi vergi beyannamesi uygulaması olarak sunuldu. Saldırı, Hindistan Gelir Vergisi Departmanından geldiği iddia edilen hedefli SMS mesajlarının yayılmasıyla başlıyor. Daha meşru görünmek için, cezbedici mesajlar hedeflenen kişilerin adlarından bahseder. Bu aşamadaki amaç, mağdurun, Gelir Vergisi İadelerinde acil bir güncelleme olduğu gibi yanlış bir iddiayla sağlanan bağlantıya tıklamasını sağlamaktır.

Bozuk bağlantılar, yine Hindistan Gelir Vergisi Departmanına ait olduğunu iddia eden bir kimlik avı sayfasına yönlendiriyor. Kimlik avı sayfası, kullanıcıları Elibomi tehdidini gizlice taşıyan uygulamayı indirmeye yönlendirir. Tehdit edici uygulamanın paketi, şablona göre adlandırılır - rastgele kelime.random string.imobile. Infosec araştırmacıları, bazılarının yalnızca sahte bir giriş sayfası gösterdiği, bazılarının da sahte kayıt ve vergi iadesi talepleri için bir seçeneğe sahip olduğu, dağıtılmak üzere sahte uygulamanın çeşitli versiyonlarını keşfetti.

Elibomi tehdidi, güvenliği ihlal edilen cihazdan hassas verileri ve kurbanlarından elde etmeyi başardığı herhangi bir finansal bilgiyi tekrar yakalar. E-postaları, telefon numaralarını, SMS/MMS mesajlarını, finansal verileri ve kişisel olarak tanımlanabilir bilgileri alabilir. Garip bir şekilde, toplanan veriler internete açık sunuculara yüklendi ve kurbanın bilgilerini halka etkili bir şekilde ifşa etti. Bilgisayar korsanları, hatalarının keşfedildiğini ve toplanan bilgilerin artık mevcut olmadığını fark etmiş olabilir.