BeatBanker Bankacılık Truva Atı

BeatBanker, Google Play Store'u taklit etmek üzere tasarlanmış sahte web siteleri aracılığıyla dağıtılan gelişmiş bir Android kötü amaçlı yazılımıdır. Bu kötü amaçlı kampanya, kullanıcıları meşru görünen ancak aslında kripto para madenciliği yetenekleriyle birleştirilmiş güçlü bir bankacılık Truva atı içeren uygulamaları indirmeye kandırır. Kurulduktan sonra, kötü amaçlı yazılım bulaşmış cihazı ele geçirebilir, kullanıcı arayüzlerini manipüle edebilir ve yetkisiz finansal işlemler gerçekleştirebilir. Tehdit tespit edildiğinde derhal kaldırılması çok önemlidir, çünkü devam eden çalışma finansal kayıplara, gizlilik ihlallerine ve uzun vadeli cihaz güvenliği sorunlarına yol açabilir.

Dosyasız Çalıştırma ve Analiz Karşıtı Teknikler

BeatBanker, çalıştırıldığında öncelikle cihazın IP adresi, cihaz türü, VPN kullanım durumu ve ilgili bağlantı ayrıntıları da dahil olmak üzere temel ağ bilgilerini toplamaya başlar. Kötü amaçlı yazılım, zararlı bileşenlerini cihazın depolama alanında dosya olarak saklamak yerine, kodunu doğrudan belleğe yükler. Bu dosyasız yürütme tekniği, geleneksel mobil güvenlik araçları tarafından tespit edilme olasılığını önemli ölçüde azaltır.

Analizden daha da kaçınmak için BeatBanker, bir emülatör veya sanal ortam gibi bir test veya araştırma ortamında çalışıp çalışmadığını kontrol eder. Bu tür koşullar tespit edilirse, kötü amaçlı yazılım çalışmasını derhal sonlandırır. Bu savunma mekanizması, siber güvenlik araştırmacılarının ve otomatik sistemlerin davranışını analiz etmesini engellemeye yardımcı olur.

Sahte Google Play Store sayfaları aracılığıyla sosyal mühendislik

BeatBanker, ortam kontrollerini geçtikten sonra, 'INSS Reembolso' adlı bir uygulamanın Google Play Store sayfasına çok benzeyen sahte bir arayüz görüntüleyerek, yazılım güncellemesi gerektiğini yanlış bir şekilde iddia eder. Kullanıcı 'Güncelle' seçeneğini seçtiğinde, kötü amaçlı yazılım uygulama yükleme izni ister ve gizlenmiş zararlı bileşenleri indirir.

Kötü amaçlı yazılım, meşru Google Play altyapısına güvenmek yerine, yükseltilmiş kurulum izinlerini kötüye kullanarak bu bileşenleri doğrudan kurar. Kalıcılığını sağlamak için, kötü amaçlı yazılım yanıltıcı bir sistem güncelleme bildirimi oluşturur ve sessizce medya oynatan bir ön plan hizmeti çalıştırarak işletim sisteminin kötü amaçlı işlemi sonlandırmasını engeller.

Kurban Cihazlarında Kripto Para Madenciliği

BeatBanker'ın gizli zararlı yazılımlarından biri, indirilen bir dosyanın içine yerleştirilmiş bir kripto para madencisi yazılımıdır. Bu bileşen, saldırganlar adına kripto para madenciliği yapmak için enfekte cihazın CPU kaynaklarını istismar etmek üzere tasarlanmış, XMRig'in değiştirilmiş bir sürümüdür.

Bu kötü amaçlı yazılım, pil seviyesi, cihaz sıcaklığı ve kullanıcı etkinliği gibi sistem parametrelerini izleyerek madencilik faaliyetini akıllıca yönetir. Bu koşullara bağlı olarak, madenci şüpheyi azaltmak ve enfeksiyonu uzatmak için otomatik olarak çalışmasını başlatabilir veya durdurabilir.

Bankacılık Truva Atı ve Kripto Para Hırsızlığı Mekanizmaları

Kripto para madenciliği özelliğinin yanı sıra, BeatBanker erişim izinlerini elde etmeye çalışan bir bankacılık Truva atı da kullanıyor. Bu izinlerin verilmesi, saldırganların cihazın arayüzünü kontrol etmesine ve kullanıcı etkileşimlerini izlemesine olanak tanıyor.

Bu kötü amaçlı yazılım, hangi uygulamaların açıldığını aktif olarak takip eder ve özellikle Binance ve Trust Wallet gibi kripto para platformlarını, özellikle de USDT işlemlerini hedef alır. Mağdur bir transfer başlattığında, BeatBanker meşru işlem arayüzünün üzerine sahte bir ekran yerleştirir. Bu süreçte, kötü amaçlı yazılım sessizce amaçlanan alıcı adresini saldırganlar tarafından kontrol edilen bir adresle değiştirir ve böylece fonlar mağdurun haberi olmadan başka bir yere yönlendirilir.

Bankacılık modülü ayrıca yaygın olarak kullanılan çeşitli mobil tarayıcıların varlığını değerlendirir ve tarama bilgilerini toplar. Varsayılan tarayıcı içindeki kaydedilmiş bağlantıları ekleyerek, düzenleyerek, silerek veya listeleyerek değiştirebilir ve saldırgan tarafından sağlanan URL'leri açabilir.

Komuta ve Kontrol Yetenekleri ve Cihaz Manipülasyonu

BeatBanker, bir komuta ve kontrol (C2) sunucusuyla iletişim kurarak saldırganların bulaşmış cihazları uzaktan yönetmesine ve komutlar vermesine olanak tanır. Bu altyapı sayesinde kötü amaçlı yazılım, sahte sistem güncellemeleri gösterme, cihaz ekranını kilitleme, pano içeriğini çıkarma ve ses kayıtlarını tehdit aktörlerine iletme gibi çok çeşitli kötü amaçlı eylemler gerçekleştirebilir.

Ek yetenekler arasında SMS mesajları gönderme, tarayıcılarda saldırgan tarafından kontrol edilen bağlantıları açma, kayıtlı kimlik bilgilerini güncelleme ve cihazda depolanan dosyaları listeleme yer almaktadır. Kötü amaçlı yazılım ayrıca dosya silme, fabrika ayarlarına sıfırlama başlatma veya bir işlemi tamamladıktan sonra izlerini silmek için kendini kaldırma gibi yıkıcı eylemler de gerçekleştirebilir.

Gözetim ve Veri Sızdırma Özellikleri

Finansal hırsızlığın ötesinde, BeatBanker kapsamlı bir gözetleme aracı olarak da işlev görüyor. Tuş vuruşlarını kaydedebiliyor, ekranda görüntülenen metni çıkarabiliyor, ekran görüntüleri yakalayabiliyor ve cihazın ekranını gerçek zamanlı olarak yayınlayabiliyor. Çalışan uygulamaların sürekli izlenmesi, saldırganların kullanıcı davranışını gözlemlemesine ve hassas bilgiler toplamasına olanak tanıyor.

Bu kötü amaçlı yazılım ayrıca uygulama izleme, seçili uygulamaları engelleyebilen veya izin verebilen yerleşik bir güvenlik duvarı, kalıcı bildirim oluşturma ve VPN bağlantılarını yönetme yeteneği de dahil olmak üzere ek cihaz kontrol mekanizmaları içerir.

İzinlerin Kötüye Kullanımı ve Kalıcılık Mekanizmaları

BeatBanker, cihaz üzerindeki kontrolünü önemli ölçüde genişleten yüksek riskli Android izinlerine büyük ölçüde bağımlıdır. Bu izinler, kötü amaçlı yazılımın kalıcı olmasını, eylemleri otomatikleştirmesini ve kullanıcının haberi olmadan komutları yürütmesini sağlar.

Bu izinlerin sağladığı temel özellikler şunlardır:

• Erişilebilirlik özelliği, otomatik dokunma, kaydırma ve arayüz manipülasyonuna olanak tanır.
• Sahte ekranların meşru uygulamaların üzerinde görünmesine olanak tanıyan yer paylaşımı izinleri.
• Bilinmeyen kaynaklardan uygulama yükleme izni, ek zararlı bileşenlerin sessizce yüklenmesine olanak tanır.
• Bağlantıları açma, USSD kodlarını çalıştırma ve daha fazla kötü amaçlı yazılım paketi dağıtma yeteneği.

Bu ayrıcalıklar, virüs bulaşmış cihazı karmaşık kötü amaçlı işlemler gerçekleştirebilen, uzaktan kontrol edilebilen bir platforma dönüştürür.

StarLink Başvurusu Kılığında Ortaya Çıkan Yeni Bir Varyant

Güvenlik araştırmacıları, Android kullanıcılarını hedef alan sahte bir StarLink uygulaması gibi görünen BeatBanker'ın daha yeni bir varyantını tespit etti. Önceki sürümlerin aksine, bu varyant geleneksel bankacılık Truva atı bileşenini yüklemiyor.

Bunun yerine, BTMOB uzaktan yönetim Truva atını (RAT) devreye sokar. BTMOB, saldırganlara ele geçirilen cihazlara tam uzaktan erişim sağlar ve Kötü Amaçlı Yazılım Hizmeti (MaaS) olarak dağıtılır; bu da siber suçluların kendi kötü amaçlı yazılım altyapılarını geliştirmeden aracı satın alıp dağıtmalarına olanak tanır.

Enfeksiyon Vektörü ve Operasyonel Etki

BeatBanker enfeksiyonları genellikle kurbanları resmi Google Play Store'a benzeyecek şekilde tasarlanmış sahte web sitelerine yönlendiren bir kimlik avı kampanyasıyla başlar. Kullanıcılar, 'INSS Reembolso' veya benzeri sahte yardımcı uygulamalar gibi devletle ilgili hizmetler gibi görünen kötü amaçlı uygulamaları indirmeye ikna edilir.

Sahte uygulama yüklendikten sonra cihaz tehlikeye girer. Etkinleştirildikten sonra BeatBanker, kripto para madencisi de dahil olmak üzere ek bileşenleri alır ve cihaza kalıcı erişim sağlar.

Bu kötü amaçlı yazılımın birleşik yetenekleri, saldırganların kripto para madenciliği yapmasına, finansal verileri çalmasına, işlemleri manipüle etmesine ve bulaşmış cihazlar üzerinde uzaktan kontrol sağlamasına olanak tanır. Bazı varyantlar ayrıca BTMOB gibi ek kötü amaçlı yazılımlar da yayarak, saldırganlara ele geçirilen sistemlere uzun süreli ve sınırsız erişim imkanı tanır.