OzzTech - BrazKing Android Kötü Amaçlı Yazılımı

BrazKing Android Kötü Amaçlı Yazılımı

Android kötü amaçlı yazılımı BrazKing

​BrazKing Android kötü amaçlı yazılımı yani bankacılık truva atı, dinamik bankacılık katmanları ve riskli izinler talep etmeden çalışmasını sağlayan yeni bir uygulama hilesiyle geri döndü.

Yeni bir kötü amaçlı yazılım örneği, Play Store'un dışında bulunan IBM Trusteer araştırmacıları tarafından analiz edildi. Bu analiz insanların smishing (SMS) mesajlarını aldıktan sonra sona erdiği sitelerde görülmektedir.

Bu HTTPS siteleri, olası kurbanı eski bir Android sürümü kullandıkları konusunda uyarır ve onları en son sürüme güncelleyeceği iddia edilen bir APK sunar.

Kullanıcıları tıklamaya çağıran uyarı mesajı

BrazKing sadece tek bir izin istemek

Kullanıcı "bilinmeyen kaynaklardan indirmeleri" onaylarsa, kötü amaçlı yazılım cihaza bırakılır ve "Erişilebilirlik Hizmeti"ne erişim ister.

Bu izin, şüpheye yol açabilecek herhangi bir ek izin istemeden ekran görüntülerini ve tuş vuruşlarını yakalamak için kötüye kullanılır.

Daha spesifik olarak, erişilebilirlik hizmeti BrazKing tarafından aşağıdaki kötü amaçlı etkinlik için kullanılır:

  • Resim biçiminde ekran görüntüsü almak yerine ekranı programlı olarak ayırın. Bu, programlı olarak, ancak kullanıcının açık onayını gerektiren köklü olmayan bir aygıtta yapılabilir.
  • Ekrandaki görünümleri okuyarak Keylogger yetenekleri.
  • RAT yetenekleri -Brazking, düğmelere dokunarak veya metni tuşlayarak hedef bankacılık uygulamasını değiştirebilir.
  • Ekranda görünen metin mesajlarını okuyarak ‘android.permisson.READ_SMS’ izni olmadan SMS okuyun. Bu, bilgisayar korsanlarının 2FA kodlarına erişmesini sağlayabilir.
  • “Kişiler” ekranındaki kişileri okuyarak “android.permission.READ_CONTACTS” izni olmadan kişi listelerini okuyun.

Android 11'den itibaren Google, yüklü uygulamaların listesini hassas bilgiler olarak sınıflandırdı; bu nedenle, onu almaya çalışan tüm kötü amaçlı yazılımlar Play Protect tarafından kötü amaçlı olarak işaretlenir.

Bu, eşleşen oturum açma ekranlarına hizmet etmek için virüslü cihazda hangi banka uygulamalarının yüklü olduğunu belirlemesi gereken tüm bankacılık bindirme truva atları için yeni bir sorundur.

BrazKing artık eskisi gibi 'getinstalledpackages' API isteğini kullanmıyor, bunun yerine virüslü cihazda hangi uygulamaların yüklü olduğunu görüntülemek için ekran diseksiyon özelliğini kullanıyor.

Yer paylaşımı söz konusu olduğunda, BrazKing artık bunu 'System_Alert_Window' izni olmadan yapıyor, bu nedenle diğer truva atlarının yaptığı gibi orijinal uygulamanın üstüne sahte bir ekran yerleştiremez.

Bunun yerine, sahte ekranı, erişilebilirlik hizmetinden eklenen bir web görünümü penceresinde saldırganın sunucusundan bir URL olarak yükler. Bu, uygulamayı ve tüm pencerelerini kapsar ancak uygulamadan çıkmaya zorlamaz.

Erişilebilirlik hizmeti aracılığıyla bindirme

Yerleşik bindirmeleri görüntülemek yerine çevrimiçi bir bankaya giriş tespit edildiğinde, kötü amaçlı yazılım artık görüntülenecek doğru oturum açma bindirmesini almak için komut ve kontrol sunucusuna bağlanacaktır.

Bu dinamik bindirme sistemi, tehdit aktörlerinin daha geniş bir banka yelpazesi için kimlik bilgilerini çalmasını kolaylaştırır. Bindirmelerin saldırganın sunucularından sunulması, oturum açma ekranlarını yasal bankacılık uygulamalarındaki veya sitelerindeki değişikliklerle çakışacak şekilde gerektiği şekilde güncellemelerine veya yeni bankalar için destek eklemelerine de olanak tanır.

Gizleme ve silinmeye karşı direnç

BrazKing'in yeni sürümü, sabit kodlanmış bir anahtar kullanarak bir XOR işlemi uygulayarak dahili kaynakları korur ve ardından bunları Base64 ile kodlar.

Analistler bu adımları hızla tersine çevirebilir, ancak yine de kötü amaçlı yazılımın kurbanın cihazına yerleştirildiğinde fark edilmemesine yardımcı olurlar.

Gizleme BrazKing dizeleri

Kullanıcı kötü amaçlı yazılımı silmeye çalışırsa, eylemi önlemek için hızlı bir şekilde 'Geri' veya 'Ana Sayfa' düğmelerine dokunur.

Aynı numara, kullanıcı güvenlik aracındaki kötü amaçlı yazılımı taramayı ve kaldırmayı umarak bir virüsten koruma uygulaması açmaya çalıştığında da kullanılır.

BrazKing'in evrimi, kötü amaçlı yazılım yazarlarının, Android'in güvenliği sıkılaştıkça araçlarının daha gizli sürümlerini sunmaya hızla adapte olduklarını gösteriyor.

2FA kodlarını, kimlik bilgilerini kapma ve izinleri istiflemeden ekran görüntüleri alma yeteneği, truva atını eskisinden çok daha güçlü kılıyor, bu nedenle Play Store dışında APK indirmelerinde çok dikkatli olun.

OZZTECH Bilgi Teknolojilerine göre , BrazKing, Portekizce konuşulan web sitelerinde dolaştığı için yerel tehdit grupları tarafından işletiliyor gibi görünüyor.

Kötü Amaçlı yazılımlar hakkında yazdığımız diğer yazılara ulaşmak için tıklayabilirsiniz.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.