'Sistem Güncellemesi' Android Kötü Amaçlı Yazılım

Android kullanıcıları, bir 'Sistem Güncellemesi' uygulaması olarak ortaya çıkan yeni ve gelişmiş bir Android kötü amaçlı yazılım tehdidi altındadır. Tehdit, son zamanlarda infosec araştırmacıları tarafından keşfedildi. Bulgularına göre, 'Sistem Güncellemesi' kötü amaçlı yazılım, nadiren görülen bazı özellikler, gelen ve giden iletişim için farklı sunuculara sahip köklü Komuta ve Kontrol (C2, C&C) altyapısı ve bunun yanı sıra çok çeşitli tehdit edici işlevler sergiliyor. tespit-kaçınma teknikleri.

Kullanıcının cihazına sızabilirse, 'Sistem Güncellemesi' kötü amaçlı yazılımı, verileri toplayıp dışarı sızabilen, gelen komutları çalıştırabilen ve virüs bulaşmış cihazın belirli işlevlerini kontrol altına alabilen bir RAT (Uzaktan Erişim Truva Atı) görevi görür. Tehdidin resmi Google Play mağazasını ihlal edemediği ve bunun yerine üçüncü taraf uygulama platformlarına yayıldığı unutulmamalıdır.

Geniş Bir Sofistike İşlev Seti

'Sistem Güncellemesi' kötü amaçlı yazılımı, saldırganların ele geçirilen Android cihaz üzerinde çeşitli hain eylemler gerçekleştirmesine izin veren çok sayıda tehdit yeteneği sergiliyor. Tehdit, oluşturulduktan sonra bir Firebase C&C sunucusuyla iletişimi başlatır. İlk değişim sırasında, virüs bulaşmış cihaz hakkında, WhatsApp'ın sistemde olup olmadığı, pil şarjı, depolama istatistikleri ve İnternet bağlantı türü dahil olmak üzere çeşitli veriler gönderilir. Firebase mesajlaşma hizmetinden alınan bir jetonun yanı sıra bilgiler, cihazı C&C'ye kaydetmek için kullanılır. Kötü amaçlı yazılım tehdidi, Firebase C & C'yi yalnızca gelen komutları almak için kullanırken, dışarı sızan tüm veriler POST istekleri aracılığıyla farklı bir C&C sunucusuna teslim edilir.

Tehdit tarafından alınan belirli komutlar, farklı işlevleri tetikler. 'Sistem Güncellemesi' kötü amaçlı yazılımı mikrofona erişebilir ve ses kaydetmeye veya telefon görüşmelerini kaydetmeye başlayabilir. Toplanan veriler, C&C sunucusuna yüklenmeden önce bir ZIP arşiv dosyası olarak kaydedilecektir. Tehdit, Erişilebilirlik Hizmetlerini tekrar tekrar etkinleştirme talepleriyle kullanıcıyı rahatsız ediyor ve başarılı olursa, WhatsApp'ın ekranından konuşma ve mesaj ayrıntılarını kazımaya çalışacaktı.

Casus yazılım, pano verilerini toplama, SMS'de casusluk, kişiler, arama günlükleri, bildirimler, GPS konumu vb. Gibi belirli tehdit edici eylemleri tetikleyen çok sayıda dinleyici, gözlem ve yayın amacı oluşturur. Güvenliği ihlal edilen cihazda depolanan dosyalar taranacak ve boyut olarak 30MB'den küçük olan ve .pdf, .docx, .doc, .xlsx, .xls, .pptx ve .ppt uzantılarına sahip olmak gibi değerli kabul edilen alanlar kopyalanacak ve ardından C&C sunucusuna sızdırılacaktır. Yer imleri ve arama geçmişi gibi diğer özel kullanıcı verileri de Samsung İnternet Tarayıcısı, Google Chrome ve Mozilla Firefox gibi popüler Web tarayıcılarından alınacaktır.

Casus yazılım, topladığı verilerin olabildiğince güncel olduğu konusunda son derece bilinçlidir. Konum verilerini GPS veya ağdan alır ve her 5 dakikada bir günceller. Aynı teknik, cihazın kamerasıyla çekilen tüm fotoğraflar için de kullanılır ve yalnızca aralık 40 dakikaya çıkarılır.

Birden Fazla Teknik Anormal Aktiviteleri Gizler

Kapsamlı RAT ve casus yazılım yeteneklerinin yanı sıra, 'Sistem Güncellemesi' kötü amaçlı yazılım, meraklı gözlerden saklamak için tasarlanmış çok sayıda teknikle donatılmıştır. Daha basit olanları, tehdit edici uygulamanın simgesinin virüslü cihazın çekmece sekmesinde veya menüsünde düzgün şekilde görünmesini engellemeyi içerir. Toplanan bilgileri içeren tüm dosyalar, verilerin çalındığı uzak sunucudan başarılı bir yanıt alındığında hemen silinir. Casus yazılım, çok sayıda video görüntüsü içeren harici depolarda depolanan dosyaları toplarken, bunun yerine uygun küçük resimleri toplamaya odaklanır. Bu yöntem, özellikle büyük bir anormal bant genişliği izi oluşturma alternatifine kıyasla tehdit edici aktivitenin nispeten fark edilmeden kalmasına izin verir.

'Sistem Güncellemesi' kötü amaçlı yazılımı, güvenliği ihlal edilen cihazın ekranı kapalıyken Firebase C&C sunucusundan bir komut alırsa, kullanıcıyı yanıltmak için sahte bir bildirim oluşturur. Bildirim, yanlış bir 'Güncelleme aranıyor ..' mesajı görüntüleyerek cihazın işletim sistemi tarafından oluşturulmuş gibi görünüyor.