BrazKing Android kötü amaçlı yazılımı yani bankacılık truva atı, dinamik bankacılık katmanları ve riskli izinler talep etmeden çalışmasını sağlayan yeni bir uygulama hilesiyle geri döndü.
Yeni bir kötü amaçlı yazılım örneği, Play Store’un dışında bulunan IBM Trusteer araştırmacıları tarafından analiz edildi. Bu analiz insanların smishing (SMS) mesajlarını aldıktan sonra sona erdiği sitelerde görülmektedir.
Bu HTTPS siteleri, olası kurbanı eski bir Android sürümü kullandıkları konusunda uyarır ve onları en son sürüme güncelleyeceği iddia edilen bir APK sunar.
Kullanıcıları tıklamaya çağıran uyarı mesajı
BrazKing sadece tek bir izin istemek
Kullanıcı “bilinmeyen kaynaklardan indirmeleri” onaylarsa, kötü amaçlı yazılım cihaza bırakılır ve “Erişilebilirlik Hizmeti”ne erişim ister.
Bu izin, şüpheye yol açabilecek herhangi bir ek izin istemeden ekran görüntülerini ve tuş vuruşlarını yakalamak için kötüye kullanılır.
Daha spesifik olarak, erişilebilirlik hizmeti BrazKing tarafından aşağıdaki kötü amaçlı etkinlik için kullanılır:
- Resim biçiminde ekran görüntüsü almak yerine ekranı programlı olarak ayırın. Bu, programlı olarak, ancak kullanıcının açık onayını gerektiren köklü olmayan bir aygıtta yapılabilir.
- Ekrandaki görünümleri okuyarak Keylogger yetenekleri.
- RAT yetenekleri -Brazking, düğmelere dokunarak veya metni tuşlayarak hedef bankacılık uygulamasını değiştirebilir.
- Ekranda görünen metin mesajlarını okuyarak ‘android.permisson.READ_SMS’ izni olmadan SMS okuyun. Bu, bilgisayar korsanlarının 2FA kodlarına erişmesini sağlayabilir.
- “Kişiler” ekranındaki kişileri okuyarak “android.permission.READ_CONTACTS” izni olmadan kişi listelerini okuyun.
Android 11’den itibaren Google, yüklü uygulamaların listesini hassas bilgiler olarak sınıflandırdı; bu nedenle, onu almaya çalışan tüm kötü amaçlı yazılımlar Play Protect tarafından kötü amaçlı olarak işaretlenir.
Bu, eşleşen oturum açma ekranlarına hizmet etmek için virüslü cihazda hangi banka uygulamalarının yüklü olduğunu belirlemesi gereken tüm bankacılık bindirme truva atları için yeni bir sorundur.
BrazKing artık eskisi gibi ‘getinstalledpackages’ API isteğini kullanmıyor, bunun yerine virüslü cihazda hangi uygulamaların yüklü olduğunu görüntülemek için ekran diseksiyon özelliğini kullanıyor.
Yer paylaşımı söz konusu olduğunda, BrazKing artık bunu ‘System_Alert_Window’ izni olmadan yapıyor, bu nedenle diğer truva atlarının yaptığı gibi orijinal uygulamanın üstüne sahte bir ekran yerleştiremez.
Bunun yerine, sahte ekranı, erişilebilirlik hizmetinden eklenen bir web görünümü penceresinde saldırganın sunucusundan bir URL olarak yükler. Bu, uygulamayı ve tüm pencerelerini kapsar ancak uygulamadan çıkmaya zorlamaz.
Erişilebilirlik hizmeti aracılığıyla bindirme
Yerleşik bindirmeleri görüntülemek yerine çevrimiçi bir bankaya giriş tespit edildiğinde, kötü amaçlı yazılım artık görüntülenecek doğru oturum açma bindirmesini almak için komut ve kontrol sunucusuna bağlanacaktır.
Bu dinamik bindirme sistemi, tehdit aktörlerinin daha geniş bir banka yelpazesi için kimlik bilgilerini çalmasını kolaylaştırır. Bindirmelerin saldırganın sunucularından sunulması, oturum açma ekranlarını yasal bankacılık uygulamalarındaki veya sitelerindeki değişikliklerle çakışacak şekilde gerektiği şekilde güncellemelerine veya yeni bankalar için destek eklemelerine de olanak tanır.
Gizleme ve silinmeye karşı direnç
BrazKing’in yeni sürümü, sabit kodlanmış bir anahtar kullanarak bir XOR işlemi uygulayarak dahili kaynakları korur ve ardından bunları Base64 ile kodlar.
Analistler bu adımları hızla tersine çevirebilir, ancak yine de kötü amaçlı yazılımın kurbanın cihazına yerleştirildiğinde fark edilmemesine yardımcı olurlar.
Gizleme BrazKing dizeleri
Kullanıcı kötü amaçlı yazılımı silmeye çalışırsa, eylemi önlemek için hızlı bir şekilde ‘Geri’ veya ‘Ana Sayfa’ düğmelerine dokunur.
Aynı numara, kullanıcı güvenlik aracındaki kötü amaçlı yazılımı taramayı ve kaldırmayı umarak bir virüsten koruma uygulaması açmaya çalıştığında da kullanılır.
BrazKing’in evrimi, kötü amaçlı yazılım yazarlarının, Android’in güvenliği sıkılaştıkça araçlarının daha gizli sürümlerini sunmaya hızla adapte olduklarını gösteriyor.
2FA kodlarını, kimlik bilgilerini kapma ve izinleri istiflemeden ekran görüntüleri alma yeteneği, truva atını eskisinden çok daha güçlü kılıyor, bu nedenle Play Store dışında APK indirmelerinde çok dikkatli olun.
OZZTECH Bilgi Teknolojilerine göre , BrazKing, Portekizce konuşulan web sitelerinde dolaştığı için yerel tehdit grupları tarafından işletiliyor gibi görünüyor.
Kötü Amaçlı yazılımlar hakkında yazdığımız diğer yazılara ulaşmak için tıklayabilirsiniz.