AppLite Banker Mobil Kötü Amaçlı Yazılım
Siber güvenlik uzmanları, Antidot bankacılık Truva Atı'nın güncellenmiş bir versiyonunu dağıtmayı amaçlayan karmaşık bir kimlik avı planını ortaya çıkardı. Mobil kimlik avı (veya kimlik avı) kampanyası olarak faaliyet gösteren saldırganlar, cazip iş fırsatları sunan işe alımcılar olarak gizleniyor.
İçindekiler
Kötü Niyeti Gizleyen İş Teklifleri
Meşru bir işe alım sürecinin parçasıymış gibi davranan saldırganlar, kurbanları hileli bir uygulamayı indirmeye kandırır. Bu tehdit edici uygulama, Antidot Banker'ın yeni varyantını meşru yazılım kisvesi altında kurbanın cihazına ileten bir dropper görevi görür.
AppLite Banker'ı Tanıtıyoruz: Kılık Değiştirmiş Bir Tehdit
Güvenlik araştırmacıları tarafından AppLite Banker kod adı verilen güncellenmiş kötü amaçlı yazılım, gelişmiş yeteneklere sahiptir. PIN'ler, desenler veya parolalar gibi cihaz kilidi açma kimlik bilgilerini çıkarabilir ve enfekte cihazların kontrolünü uzaktan ele geçirebilir. Bu özellikler, TrickMo gibi benzer tehditlerde görülen taktikleri yansıtır.
Sosyal Mühendislik ve İş Planları
Saldırganlar, kazançlı iş fırsatları vaatleriyle kurbanları cezbetmek için sosyal mühendislik taktikleri kullanır. Örneğin, Eylül 2024'teki bir kimlik avı kampanyası, cazip saatlik ücretler ve kariyer geliştirme potansiyeli ile uzaktan müşteri hizmetleri rolleri sunduğunu iddia eden bir Kanada şirketi olan Teximus Technologies'i taklit etti. Bu 'işe alımcılarla' etkileşime giren kurbanlar, kimlik avı sitelerinden güvenli olmayan uygulamaları indirmeye yönlendirilir ve bu da kötü amaçlı yazılım yükleme sürecini başlatır.
Sahte Uygulamalar ve Kimlik Avı Alan Adları
Zararlı uygulamalar, çalışan CRM araçları gibi görünerek, aldatıcı etki alanlarından oluşan bir ağ üzerinden dağıtılır. Bu dropper uygulamaları, ZIP dosyalarını manipüle ederek ve güvenlik savunmalarını aşarak tespit edilmekten akıllıca kaçınır. Mağdurlar, görünüşte 'telefonlarını korumak' için bir hesap kaydetmeye ve sahte bir uygulama güncellemesi yüklemeye yönlendirilir. Sözde güncelleme daha sonra sahte bir Google Play Store arayüzü aracılığıyla iletilir ve kötü amaçlı yazılım dağıtımı tamamlanır.
Zararlı Faaliyetler İçin Erişilebilirlik Özelliklerinin Kullanımı
Önceki yinelemelerde olduğu gibi, AppLite Banker uygulaması Android Erişilebilirlik Hizmetleri izinlerini kötüye kullanır. Bu erişim, ekranları kaplamasına, kendi kendine izin vermesine ve diğer zararlı etkinlikleri gerçekleştirmesine olanak tanır.
Temel işlevler şunlardır:
- Ekran görüntüleri aracılığıyla Google hesap bilgilerini çalmak.
- Ekran parlaklığı ve varsayılan uygulamalar gibi cihaz ayarlarını değiştirme.
Enfekte Cihazlar Üzerindeki Genişletilmiş Kontrol
Son sürümde tehdit seviyesini artıran özellikler de yer alıyor:
- Uzak sunucu talimatlarına göre çağrıları engelleme ve SMS mesajlarını gizleme.
- 172 banka, kripto para cüzdanı ve Facebook, Telegram gibi sosyal medya platformlarına ait sahte giriş sayfaları servis ediliyor.
- Cihazları uzaktan yönetmek için tuş kaydı tutma, SMS hırsızlığı, çağrı yönlendirme ve Sanal Ağ Bilgisayarı (VNC) özelliğini etkinleştirme.
Küresel Hedef Kitle
Kampanyanın özellikle İngilizce, İspanyolca, Rusça, Fransızca, Almanca, İtalyanca ve Portekizce gibi dilleri iyi bilen, farklı bölgelerdeki kullanıcıları hedef aldığı görülüyor.
Proaktif Savunma Anahtardır
Bu tehdidin karmaşık yapısı ve geniş kapsamlı etkisi göz önüne alındığında, sağlam koruma önlemlerinin uygulanması kritik öneme sahiptir. Kullanıcılar, istenmeyen iş teklifleri veya harici uygulamaları yükleme uyarıları aldıklarında dikkatli olmalıdır. Dikkatli olmak ve mobil güvenliğe öncelik vermek, olası veri ve mali kayıpları önlemeye yardımcı olabilir.
