SmsSpy Malware

Roaming Mantis hacker grubu tarafından yürütülen smishing kampanyası hala gelişiyor. Operasyonun birincil hedefleri Asya ülkelerinden kullanıcılardı, ancak şimdi bilgisayar korsanları, Japon kullanıcıları özellikle etkilemek için tasarlanmış SmsSpy adlı yeni bir kötü amaçlı yazılım yerleştirdiler. Kötü amaçlı yazılım türünün ana amacı, ele geçirilen Android cihazlardan telefon numaralarını ve SMS mesajlarını toplamaktır. Tehdit, kullanıcının Android işletim sistemi sürümüne bağlı olarak, potansiyel kurbanlarda önemli bir artışa yol açan iki farklı sürümü dağıtabilir.

İlk Uzlaşma Vektörü

Saldırı, kullanıcıları bozuk bir web sayfasına yönlendiren kimlik avı SMS mesajlarıyla başlar. Sahte mesajın tam metni değişebilir çünkü siber suçlular, kullanıcıdan bazı hizmetler için onay alması gereken bir lojistik şirketi gibi davranabilir. Başka bir senaryoda, kullanıcılar sözde Bitcoin hesaplarıyla ilgili sorunlar konusunda uyarılıyor ve giriş bilgilerini doğrulamak için sağlanan bağlantıyı takip etmeleri isteniyor.

Kimlik avı sayfası daha sonra saldırının aşağıdaki adımlarını belirlemek için kullanıcının cihazının Android sürümünü kontrol eder. Android OS 10 veya sonraki sürümleri çalıştıran cihazlarda, kötü amaçlı yazılım tehdidi sahte bir Google Play uygulaması olarak dağıtılacaktır. Android 9 veya önceki bir sürümü kullanan cihazlar için bunun yerine sahte bir Chrome uygulaması indirilecektir.

SmsSpy'ın Tehdit Eden İşlevselliği

Zararlı uygulama yüklendikten sonra, cihazın kurbanın kişilerine ve SMS mesajlarına erişmesi için varsayılan mesajlaşma uygulaması olarak ayarlanmasını isteyecektir. Kullanıcıya görüntülenen bildirim ekranı, indirilen uygulamanın sürümüyle eşleşir. Google Play varyantı, sözde virüs, casus yazılım, kimlik avı koruması ve spam posta koruması sağlayacak bir güvenlik hizmeti gibi görünmektedir. Sahte Chrome uygulamasına gelince, kullanıcıları izin isteklerini kabul etmemenin uygulamanın başlatılamamasına veya işlevlerini sınırlamamasına neden olabileceği konusunda uyarıyor.

Daha sonra, SmsSpy simgesini gizleyecek ve bir WebSocket iletişimi aracılığıyla Komut ve Kontrol sunucusuyla iletişim kurmaya çalışacaktır. Varsayılan adres, kötü amaçlı yazılımın koduna gömülüdür, ancak C2 sunucu konumunun güncellenmesi gerektiğinde etkinleşen bağlantı bilgilerine de sahiptir. C2 sunucuları genellikle bir blog hizmetinin kullanıcı profili sayfasında gizlidir, ancak bazı örneklerde aynı amaç için bir Çince çevrimiçi belge hizmetinin kullanıldığı da gözlemlenmiştir.

İlk el sıkışma sırasında, SmsSpy kötü amaçlı yazılım, Android işletim sistemi sürümü, telefon numarası, cihaz modeli, benzersiz bir cihaz kimliği ve internet bağlantı türü dahil olmak üzere virüslü cihaz hakkında sistem ayrıntılarını gönderir. Tehdit daha sonra, gelen komutları beklerken uykuda kaldığı bir dinleme moduna girecektir. Saldırganlar, tüm kişi defteri ve SMS mesajlarını çalabilir, SMS mesajları gönderip silebilir ve daha fazlasını yapabilir.