BrazKing Android Malware
BrazKing, kurbanlarının bankacılık kimlik bilgilerini toplamak için üst üste bindirme saldırıları gerçekleştiren bir mobil bankacılık kötü amaçlı yazılımıdır. Tehdit, Brezilya'da bulunan ANDroid cihazlarını ve kullanıcılarını hedefliyorağırlıklı olarak, muhtemelen operatörlerinin de bölgede bulunduğunu düşündürmektedir. IBM Trusteer'deki araştırmacılar, birkaç BrazKing örneğinin analizinden sonra bulgularını içeren bir rapor yayınlayarak tehdide ışık tuttu. Şimdiye kadar uzmanlar BrazKing'in hala geliştirilmekte olduğundan eminler.tehdidin daha yeni sürümlerinde sunulan önemli farklılıklar nedeniyle aktif olarak.
İçindekiler
Android’in Erişilebilirlik Hizmetini Kötüye Kullanma
Erişilebilirlik özelliği, mobil cihazın kullanımını engelli kişiler için daha rahat hale getirmeyi amaçlamaktadır. Yine de,Siber suçlular bunun üzerine odaklandı ve virüslü cihazlarda çok sayıda hain eylem gerçekleştirmek için hizmetten yararlanıyor. BrazKing, Erişilebilirlik hizmetine güveniyorkapsamlı bir şekilde, çünkü bu, tehdidin kullanıcı tarafından verilmesi gereken belirli izinlerin sayısını sınırlamasına izin verir. Sonuç olarak, BrazKing az sayıda daha az şüpheli izin ister.
Arka planda BrazKing, ekran tıklamalarını simüle edebilir, tuş günlüğü rutinleri oluşturabilir, RAT (Uzaktan Erişim Truva Atı) görevi görebilir, ekranda görüntülenirken mesajların metnini yakalayarak SMS'i yakalayabilir ve okuyabilir ve kullanıcının kişi listelerine şu şekilde erişebilir: bunları sessizce 'Kişiler' ekranından okumak. Tehdit ayrıca Erişilebilirlik hizmetinin işlevlerine dayalı bir kalıcılık mekanizması kurar. Kullanıcılar virüslü cihazı fabrika ayarlarına döndürmeye çalışırsa, BrazKing hemen 'Geri' ve 'Ana Sayfa' düğmelerine bir dokunuşu simüle eder. Aynı teknik, kullanıcıların kötü amaçlı yazılımdan koruma çözümleri başlatmasını veya aygıtı taramaya çalışmasını önlemek için de kullanılır.
Enfeksiyon vektörü
Kurbanlar, sahte bir web sitesinin URL'sini taşıyan kimlik avı mesajları yoluyla tehdidi yüklemeleri için kandırılır. Aldatıcı web sitesi, kullanıcının cihazının güncel olmadığını ve engelleneceğini iddia etmek gibi korkutma taktikleri kullanır. Bu var olmayan sorunu gidermek için, kullanıcıların, cihazın işletim sistemini 'güncelleştireceği' varsayılan düğmeyi tıklamaları istenir. Gerçekte, BrazKing Android kötü amaçlı yazılımını sunacak. Uygulama bilinmeyen bir kaynaktan geldiğinden, kullanıcıların indirmeyi onaylaması gerekecek. Ardından tehdit, ihtiyaç duyduğu küçük izinleri Google gereksinimleri olarak maskeleyerek elde etmeye çalışacaktır.
Bindirme Saldırıları
Daha önceki BrazKing sürümleri, sabit kodlanmış bir URL'den hedeflenen bankacılık uygulamaları için sahte oturum açma ekranını getirdi. Daha yeni sürümler, daha akıcı, çevik ve anlaşılması zor hale gelmek için bu teknikten uzaklaştı. Gerçekten de, tehdit şimdi Komuta ve Kontrol (C2, C&C) sunucusuna otomatik bir çağrı yapar ve anında gerekli kaplama ekranını ister. Siber suçlular artık kurban tarafından uygun bir uygulamanın ne zaman başlatılacağını ve kimlik bilgilerini ele geçirme sürecini tehdidin kendi içinde otomatik bir işleve bırakmak yerine ne zaman etkinleştireceğini belirliyor.
BrazKing saldırılarının bir başka özelliği de, kullanıcı tarafından onaylanan 'android.permission.SYSTEM_ALERT_WINDOW' iznini gerektirmemeleridir. Bunun yerine, kötü amaçlı yazılım, kaplama ekranının URL'sini bir web görünümüne yükler ve bunu bir pencerede görüntüler.
Mobil bankacılık kötü amaçlı yazılımları gelişmeye devam ediyor ve kullanıcılar cihazlarını korumak için gerekli önlemleri almalı ve kendilerini gereksiz risklere maruz bırakmamalıdır.
