Zararlı yazılım hassas bilgilerimizi vurmaya devam ediyor. Son olarak, Android Trojan Horse'un en son sürümünün vaftiz babasının enfekte cihazlar üzerinde sanal bir alan kurduğu ve banka uygulamalarını ve kripto para birimlerini ele geçirdiği konusunda uyarıldı.
“Türkiye'de 12 farklı banka başvurusu hedeflendi”
Zimperio'da yayınlanan makaleye göre, kötü amaçlı yazılım kötü amaçlı yazılımlar, cihazın engellenmesi hakkındaki bilgilerin hedefi de dahil olmak üzere, hassas bilgiler ve ekran kilitleme modelleri, pim kodları ve şifreler çalınır.
Muhtemelen, sanallaştırma tekniği bir düzine bir düzine Türk finans kurumuna karşı kullanıldı ve Türkiye'de 12 farklı bankacılık sorusu vaftiz babası virüsü ile hedef alındı.
Vaftiz babası virüsünün saldırıları nasıl?
Haziran 2021'den beri aktif olan ve tuzağa düşmüş bankacılık Anubis'in Truva atı koduna dayandığına inanılan vaftiz babası, tüm dünyada yüzlerce bankacılık ve kriptografik para birimleri hedeflemesi ile bilinir.
Enfekte cihazlarda tam bir sanallaştırma çerçevesi olarak tanımlanan kötü amaçlı yazılımların yeni bir sürümü, bilgi bir sonraki seviyeye yeniden üretme olasılığını getiriyor. Bu sanallaştırılmış ortamda, hedeflenen uygulamaların kopyaları gerçekleştirilir.
Godfather, uygulamaların sanallaştırılmasını destekleyen açık kaynaklı araçlar olan VirtualApp, XPheptbridge, XposedInstaller ve Xpoused kullanarak yanlış düzeyde yeni saldırılar gerçekleştirir. El ele geçirilmiş uygulamaları yüklemek için ana uygulama kullanılır ve bu uygulamalar sanal bir dosya sistemine yüklenir.
Her işlem, kullanıcı fark etmeden önce dokunuş bakılır
Zararlı yazılım, Android cihazına yüklenen uygulamaların bir listesini oluşturur ve banka uygulamalarından temel bilgileri kaldırarak bu uygulamaları sanal bir ortamda başlatmak için kullanılan bir önbellek dosyası oluşturur.
Bu durumda, bir kullanıcı uygulamayı başlattığında, bu sanallaştırılmış sürüme fark edilmeden ele alınır; Her işlem, her dokunuş ve veri girişi, çalışma sırasında zararlı yazılım tarafından izlenir ve kontrol edilir.
Bu yaklaşım, saldırganlara tüm kullanıcı eylemlerini tamamlama fırsatı verir ve kimlik bilgilerini kesin bilgilerle gerçek zamanlı olarak kavramalarına izin verir. Buna ek olarak, zararlı yazılım uzaktan kontrol edilebilir ve sanallaştırılmış uygulamanın davranışı değiştirilebilir ve güvenlik kontrolleri aşılabilir.
Tespit edilmeyecek değişiklikler yapar
Kötü amaçlı yazılımın en son sürümünün APK dosyalarının atlama biçimini de değiştirdiği ve Android Manifest dosyalarının yapısını değiştirdiği gözlenmiştir; Bu değişiklikler tespitten kaçınmak için yapılır. Bununla birlikte, hala Android'in erişilebilirlik hizmetlerini kullanır ve kullanıcılar tarafından zararlı faaliyetler için gerekli yetkileri almaya devam eder.
Hedefleme Kapasitesi 500 Uygulama
Vaftiz babasının banka başvuruları, kript, iletişim, e-ticaret, sosyal medya ve hizmet uygulamaları dahil olmak üzere yaklaşık 500 soruyu hedef alabileceği söyleniyor.