ozztech_logo_white

BrazKing Android Kötü Amaçlı Yazılımı

Android kötü amaçlı yazılımı BrazKing

​BrazKing Android kötü amaçlı yazılımı yani bankacılık truva atı, dinamik bankacılık katmanları ve riskli izinler talep etmeden çalışmasını sağlayan yeni bir uygulama hilesiyle geri döndü.

Yeni bir kötü amaçlı yazılım örneği, Play Store’un dışında bulunan IBM Trusteer araştırmacıları tarafından analiz edildi. Bu analiz insanların smishing (SMS) mesajlarını aldıktan sonra sona erdiği sitelerde görülmektedir.

Bu HTTPS siteleri, olası kurbanı eski bir Android sürümü kullandıkları konusunda uyarır ve onları en son sürüme güncelleyeceği iddia edilen bir APK sunar.

Kullanıcıları tıklamaya çağıran uyarı mesajı

BrazKing sadece tek bir izin istemek

Kullanıcı “bilinmeyen kaynaklardan indirmeleri” onaylarsa, kötü amaçlı yazılım cihaza bırakılır ve “Erişilebilirlik Hizmeti”ne erişim ister.

Bu izin, şüpheye yol açabilecek herhangi bir ek izin istemeden ekran görüntülerini ve tuş vuruşlarını yakalamak için kötüye kullanılır.

Daha spesifik olarak, erişilebilirlik hizmeti BrazKing tarafından aşağıdaki kötü amaçlı etkinlik için kullanılır:

  • Resim biçiminde ekran görüntüsü almak yerine ekranı programlı olarak ayırın. Bu, programlı olarak, ancak kullanıcının açık onayını gerektiren köklü olmayan bir aygıtta yapılabilir.
  • Ekrandaki görünümleri okuyarak Keylogger yetenekleri.
  • RAT yetenekleri -Brazking, düğmelere dokunarak veya metni tuşlayarak hedef bankacılık uygulamasını değiştirebilir.
  • Ekranda görünen metin mesajlarını okuyarak ‘android.permisson.READ_SMS’ izni olmadan SMS okuyun. Bu, bilgisayar korsanlarının 2FA kodlarına erişmesini sağlayabilir.
  • “Kişiler” ekranındaki kişileri okuyarak “android.permission.READ_CONTACTS” izni olmadan kişi listelerini okuyun.

Android 11’den itibaren Google, yüklü uygulamaların listesini hassas bilgiler olarak sınıflandırdı; bu nedenle, onu almaya çalışan tüm kötü amaçlı yazılımlar Play Protect tarafından kötü amaçlı olarak işaretlenir.

Bu, eşleşen oturum açma ekranlarına hizmet etmek için virüslü cihazda hangi banka uygulamalarının yüklü olduğunu belirlemesi gereken tüm bankacılık bindirme truva atları için yeni bir sorundur.

BrazKing artık eskisi gibi ‘getinstalledpackages’ API isteğini kullanmıyor, bunun yerine virüslü cihazda hangi uygulamaların yüklü olduğunu görüntülemek için ekran diseksiyon özelliğini kullanıyor.

Yer paylaşımı söz konusu olduğunda, BrazKing artık bunu ‘System_Alert_Window’ izni olmadan yapıyor, bu nedenle diğer truva atlarının yaptığı gibi orijinal uygulamanın üstüne sahte bir ekran yerleştiremez.

Bunun yerine, sahte ekranı, erişilebilirlik hizmetinden eklenen bir web görünümü penceresinde saldırganın sunucusundan bir URL olarak yükler. Bu, uygulamayı ve tüm pencerelerini kapsar ancak uygulamadan çıkmaya zorlamaz.

Erişilebilirlik hizmeti aracılığıyla bindirme

Yerleşik bindirmeleri görüntülemek yerine çevrimiçi bir bankaya giriş tespit edildiğinde, kötü amaçlı yazılım artık görüntülenecek doğru oturum açma bindirmesini almak için komut ve kontrol sunucusuna bağlanacaktır.

Bu dinamik bindirme sistemi, tehdit aktörlerinin daha geniş bir banka yelpazesi için kimlik bilgilerini çalmasını kolaylaştırır. Bindirmelerin saldırganın sunucularından sunulması, oturum açma ekranlarını yasal bankacılık uygulamalarındaki veya sitelerindeki değişikliklerle çakışacak şekilde gerektiği şekilde güncellemelerine veya yeni bankalar için destek eklemelerine de olanak tanır.

Gizleme ve silinmeye karşı direnç

BrazKing’in yeni sürümü, sabit kodlanmış bir anahtar kullanarak bir XOR işlemi uygulayarak dahili kaynakları korur ve ardından bunları Base64 ile kodlar.

Analistler bu adımları hızla tersine çevirebilir, ancak yine de kötü amaçlı yazılımın kurbanın cihazına yerleştirildiğinde fark edilmemesine yardımcı olurlar.

Gizleme BrazKing dizeleri

Kullanıcı kötü amaçlı yazılımı silmeye çalışırsa, eylemi önlemek için hızlı bir şekilde ‘Geri’ veya ‘Ana Sayfa’ düğmelerine dokunur.

Aynı numara, kullanıcı güvenlik aracındaki kötü amaçlı yazılımı taramayı ve kaldırmayı umarak bir virüsten koruma uygulaması açmaya çalıştığında da kullanılır.

BrazKing’in evrimi, kötü amaçlı yazılım yazarlarının, Android’in güvenliği sıkılaştıkça araçlarının daha gizli sürümlerini sunmaya hızla adapte olduklarını gösteriyor.

2FA kodlarını, kimlik bilgilerini kapma ve izinleri istiflemeden ekran görüntüleri alma yeteneği, truva atını eskisinden çok daha güçlü kılıyor, bu nedenle Play Store dışında APK indirmelerinde çok dikkatli olun.

OZZTECH Bilgi Teknolojilerine göre , BrazKing, Portekizce konuşulan web sitelerinde dolaştığı için yerel tehdit grupları tarafından işletiliyor gibi görünüyor.

Kötü Amaçlı yazılımlar hakkında yazdığımız diğer yazılara ulaşmak için tıklayabilirsiniz.

İlginizi Çekebilecek Makaleler​

Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »
.OrianaLOG Nedir?

.OrianaLOG Nedir? ve Ne işe Yarar?  .OrianaLOG bir sistem veya uygulamanın çalışması sırasında oluşan log (kayıt) dosyalarının toplanması, depolanması, analiz edilmesi ve incelenmesine olanak sağlayan bir

Devamı »