OzzTech - Endişe Edici Bir Şekilde Gelişmiş Android Truva Atı SOVA

Endişe Edici Bir Şekilde Gelişmiş Android Truva Atı SOVA

Endişe Edici Bir Şekilde Gelişmiş Android Truva Atı SOVA

Araştırmacılar, SOVA adlı yeni bir Android bankacılık truva atının (Rusça "baykuş") aktif olarak geliştirilmekte olduğunu ve emekleme aşamasında bile büyük hayalleri olduğunu söyledi. Kötü amaçlı yazılım, dağıtılmış hizmet reddi (DDoS), ortadaki adam (MiTM) ve fidye yazılımı işlevselliğini mevcut bankacılık yer paylaşımı, bildirim manipülasyonu ve tuş kaydetme hizmetlerinin üzerine cephaneliğine dahil etmek istiyor.

Cuma günü yapılan bir analizde , "Bu kötü amaçlı yazılım hala emekleme aşamasındadır [ilk olarak Ağustos'ta ortaya çıkıyor, şimdi yalnızca sürüm 2'de] ve bir test aşamasından geçiyor. Yol haritası, test için kullanılabilirliğinin reklamını yapan yer altı forum gönderilerinde düzenlenmiştir.

“SOVA, geleneksel masaüstü kötü amaçlı yazılımlarından bir sayfa alıyor” diye eklediler. "DDoS, ortadaki adam ve cephaneliğine fidye yazılımı dahil olmak üzere, bindirme ve tuş kaydetme saldırılarının hizmet ettiği zaten çok tehlikeli tehdide ek olarak, son kullanıcılar için inanılmaz hasar anlamına gelebilir."

Analiz, kötü amaçlı yazılım yazarlarının kodlama ve geliştirme seçimlerinin de SOVA'nın gelişmişliğini yansıttığını gösterdi.

ThreatFabric'e göre, "Geliştirme ile ilgili olarak, SOVA, Android tarafından desteklenen ve birçok kişi tarafından Android geliştirmenin geleceği olarak düşünülen bir kodlama dili olan Kotlin'de tamamen geliştirilmiş olmasıyla da öne çıkıyor." "Yazarın gelecekteki özelliklerle ilgili sözleri tutulursa, SOVA potansiyel olarak bugüne kadar Kotlin'de tamamen geliştirilecek en eksiksiz ve gelişmiş Android botu olabilir."

Bu arada SOVA, komut ve kontrol (C2) sunucusuyla iletişimi için RetroFit olarak bilinen meşru açık kaynaklı projeye güveniyor.

Araştırmacılar, "Güçlendirme, Square tarafından geliştirilen Android, Java ve Kotlin için güvenli bir REST istemcisidir" dedi. "Kitaplık, API'lerin kimliğini doğrulamak ve bunlarla etkileşim kurmak ve OkHttp ile ağ istekleri göndermek için güçlü bir çerçeve sağlıyor."

Bankacılık Truva Atı Özellikleri

Araştırmacılar, SOVA'nın her şeyden önce bir bankacılık truva atı olduğunu ve yazarlarının gelişiminin bu kısmına da yenilik uyguladığını belirtti. Örneğin, SOVA, bindirme saldırılarının daha geleneksel bankacılık cephesini gözden kaçırmaz.

Yer paylaşımlı saldırılar, kötü amaçlı yazılımın, kullanıcıların mobil bankacılıkta oturum açtıklarında gördükleri ekranı taklitçi bir ekranla değiştirdiği ve böylece kurbanın girdiği tüm kimlik bilgilerini topladığı bankacılık truva atları tarafından kullanılan yaygın bir taktiktir.

SOVA örneğinde, taklit edebildiği hedefler arasında bankacılık uygulamaları, kripto para cüzdanları ve çalışması için kredi kartı erişimi gerektiren alışveriş uygulamaları yer alıyor.

Araştırmacılar, "Yazarlara göre, ABD ve İspanya'dan farklı bankacılık kurumları için halihazırda birden fazla bindirme mevcut, ancak bunlar, alıcıdan gerektiğinde daha fazlasını yaratma imkanı sunuyor" dedi. Ayrıca, ThreatFabric'in bildirdiğine göre, sürüm 2, bazı Rus bankalarının kullanıcılarını hedeflemek için işlevsellik içeriyor.

SOVA, kurbanın kimlik bilgilerini ve diğer kişisel olarak tanımlanabilir bilgilerini (PII) daha iyi toplamak için Android'in Erişilebilirlik Hizmetlerinde bankacılık yapıyor.

Araştırmacılar, “İlk kez başlatıldığında, kötü amaçlı yazılım uygulama simgesini gizler ve düzgün çalışması için gerekli tüm izinleri almak için Erişilebilirlik Hizmetlerini kötüye kullanır” dedi. Bu izinlerden bazıları, örneğin kurbandan daha iyi saklanmak için SMS mesajlarını ve bildirimleri engellemesine izin veriyor ayrıca iki faktörlü kimlik doğrulamasını atlama yeteneği de var.

Araştırmacılar, “Çerezler, kullanıcıların kimlik bilgilerini tekrar tekrar girmek zorunda kalmadan tarayıcılarında açık oturumları sürdürmelerine olanak tanıyan web işlevselliğinin hayati bir parçasıdır” dedi. “SOVA, hedef uygulama için meşru bir web URL'si açmak için bir Web Görünümü oluşturacak ve kurban başarıyla oturum açtığında çerezleri çalacaktır. Gmail veya PayPal gibi büyük web sitelerinden kolaylıkla oturum çerezlerini çalabilir.”

SOVA'nın daha yeni sürümünde, siber dolandırıcılar, tanımlama bilgilerini otomatik olarak izleyecekleri bir uygulama listesi oluşturma seçeneğini de ekledi.

ThreatFabric, sürüm 2'nin sunduğu diğer bir özelliğin pano manipülasyonu, yani kripto para birimini çalmak amacıyla sistem panosundaki verileri değiştirme yeteneği olduğunu açıkladı.

Araştırmacılar, “Bot, panoya bazı yeni veriler kaydedildiğinde kötü amaçlı yazılımı bilgilendirmek için tasarlanmış bir olay dinleyicisi kurar” dedi. “Veri dizisi potansiyel olarak bir kripto para cüzdan adresiyse, SOVA bunu karşılık gelen kripto para birimi için geçerli bir adresle değiştirir.”

Şu ana kadar desteklenen kripto para birimleri Binance, Bitcoin, Ethereum ve TRON'dur.

Hâlâ yol haritasında önde olan SOVA yazarları, yakında “otomatik üç aşamalı bindirme enjeksiyonları” ekleyeceklerini söylediler.

Araştırmacılar, “Üç aşamanın ne anlama geldiği net değil, ancak daha fazla ilerleme ve gerçekçi süreç anlamına gelebilir, belki de cihaza ek yazılımların indirilmesi anlamına gelebilir” dedi.

SOVA: İyi Düşünülmüş Bir Geliştirme Yol Haritası

Araştırmacılar, kötü amaçlı yazılımın yazarlarının açıkça SOVA'nın geleceğiyle ilgili pek çok emelleri olduğunu ve Android ekosistemi için tehlikeli bir tehdit olma potansiyeline sahip olduğu sonucuna vardı.

"Gelecekteki gelişmelerde eklenen ikinci özellik grubu çok gelişmiş ve SOVA'yı Android bankacılık kötü amaçlı yazılımları için farklı bir alana itecek" dediler. “Yazarlar yol haritasına bağlı kalırsa, DDoS yetenekleri, fidye yazılımı ve gelişmiş bindirme saldırıları da içerebilecek. Bu özellikler, SOVA'yı piyasadaki en zengin özellikli Android kötü amaçlı yazılım haline getirecek ve finans kurumlarını hedef alan Android bankacılık truva atları için 'yeni norm' haline gelebilir.”

Bazı yönlerden SOVA, diğer siber saldırı türlerine geçmeden ve dünya çapında kötü aktörler tarafından kullanılan en popüler ve yaygın truva atlarından biri haline gelmeden önce bankacılık truva atı olarak hayata başlayan çok platformlu bir kötü amaçlı yazılım olan TrickBot'un ayak izlerini takip ediyor olabilir. Şimdi, bir dizi devam eden fidye yazılımı ve diğer kötü amaçlı yazılımlar sunarak, birinci aşama bir enfeksiyon olarak hareket etme konusunda uzmanlaşmıştır.

İlginç bir şekilde, TrickBot'un yazarları son zamanlarda TrickBot'un banka dolandırıcılığı oyununa geri döndüğünü gösterebilecek bazı kod değişiklikleri başlattılar - özellikle Zeus'tan türetilen çevrimiçi bankacılık kimlik bilgilerini çalmak için bir tarayıcıda adam (MitB) özelliği eklediler. bankacılık truva atı - potansiyel olarak yaklaşan bir dolandırıcılık saldırısı saldırısına işaret ediyor.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.