Hydra Android Trojan

Hydra Android Truva Atı, bu tehdidin ilk örnekleri 2019'da keşfedildiği için bir süredir aktif saldırı kampanyalarında kullanılıyor. O zamandan beri, tehdit birden fazla sürümden geçti ve tehdit yeteneklerini birkaç kez genişletti. Hydra Android Truva Atı'nın asıl amacı aynı kaldı - kurbanın bankacılık veya finansman hizmetleri için kimlik bilgilerini toplamak.

Hydra Android Trojan'ı dağıtan en son kampanya, MalwareHunterTeam ve Cyble'daki siber güvenlik araştırmacıları tarafından ortaya çıkarıldı. Tehdit edici operasyon, Avrupa e-bankacılık platformlarını ve daha özel olarak Almanya'nın en büyük ikinci bankası olan Commerzbank'ın müşterilerini hedef alıyor.

Zararlı Fonksiyonlar

Tehdit, Trojanized Commerzbank uygulamalarını yayan bir cazibe web sitesi aracılığıyla teslim edilir. Hydra Android Truva Atı kurbanın cihazına yerleştirildikten sonra birkaç kritik izin ister. İlk olarak, Android'in Erişilebilirlik hizmetine erişmek istiyor. Bu, engelli kişilerin Android cihazlarını daha rahat bir şekilde kullanmalarına yardımcı olmak için uygulanan meşru bir arka plan hizmetidir. Ancak tehdit, cihazın ekranında gerçekleşen tüm etkinlikleri izlemek ve engellemek için hizmeti kötüye kullanır. Bunu yapmak, kurban tarafından diğer uygulamalarda girilen kimlik bilgilerini görmelerini sağlar.

Tehdit tarafından talep edilen ikinci izin BIND_DEVICE_ADMIN'dir. Hydra yönetici ayrıcalıkları verir ve cihazı kilitleme, ekran kilidi PIN'ini değiştirme ve daha fazlası gibi çok sayıda istilacı aktivite gerçekleştirmesine izin verir. Kötü amaçlı yazılım, SMS'e erişme veya SMS gönderme, arama yapma, kurbanın kişi listesine mesaj gönderme vb. dahil olmak üzere ek eylemler gerçekleştirebilir.

En son Hydra Android Truva Atı sürümü, S.O.V.A. Android bankacılık Truva Atı'na benzer şekilde TeamViewer işleviyle de donatılmıştır. Ayrıca, iletişim için çeşitli şifreleme teknikleri ve TOR kullanarak algılama-kaçınmayı artırmıştır.