Alien kötü amaçlı yazılım 226 Android uygulamasından şifreleri çalabilir

Teknoloji Haberleri

Hedeflerin çoğu bankacılık uygulamalarıdır, ancak Alien ayrıca sosyal, anlık mesajlaşma ve kripto para birimi uygulamaları için kimlik avı sayfaları gösterebilir.

Güvenlik araştırmacıları, 226 uygulamadan kimlik bilgilerini çalmasına izin veren çok çeşitli özelliklerle beraber gelen yeni bir Android kötü amaçlı yazılım türünü keşfettiler ve analiz ettiler.
Adını Uzaylı bu yeni truva senenin başından bu yana faal durumda ve yeraltı hack forumlarında bir Malware-as-a-Service (Maas) adak olarak sunulmuştur.
Bu hafta paylaşılan bir raporda , ThreatFabric’in güvenlik araştırmacıları, kötü amaçlı yazılımın evrimini, hilelerini ve özelliklerini anlamak için forum yayınlarını ve Alien örneklerini derinlemesine incelediler.

CERBERUS DIŞARI, UZAYLI İÇERİ
Araştırmacılara göre, Alien gerçekten yeni bir kod parçası değil, esasında Cerberus adlı rakip bir kötü amaçlı yazılım çetesinin kaynak koduna dayanıyordu.

Cerberus, geçen sene aktif bir MaaS iken, bu sene, sahibinin kod tabanını ve müşteri tabanını satmaya çalışmasıyla, sonunda bedava dağıttığı olarak sızdırmadan önce başarısız oldu .
ThreatFabric, Cerberus’un Google’ın güvenlik ekibinin virüslü cihazları tespit edip temizlemenin bir yolunu bulması sebebiyle öldüğünü söylüyor. Ancak Alien daha eski bir Cerberus versiyonuna dayansa bile, Alien bu soruna sahip görünmüyor ve MaaS, Cerberus’un ölümünün bıraktığı boşluğu doldurmak için devreye girdi.
Ve araştırmacılar, Alien’ın kendi başına saygın ve tehlikeli bir truva atı olan Cerberus’tan bile daha gelişmiş olduğunu söylüyor.

UZAYLILAR BAZI 2FA KODLARINI, PHİSH TONLARCA UYGULAMAYI YAKALAYABİLİR
ThreatFabric, Alien’ın kod tabanlarına uzaktan erişim özelliklerini entegre eden yeni nesil Android bankacılık truva atlarının bir parçası olduğunu söylüyor.
Bu, Alien’ı enfekte olmak için tehlikeli bir karışım yapar. Alien sadece sahte oturum açma ekranları göstermek ve çeşitli uygulamalar ve hizmetler için şifreler toplamakla kalmaz, hemde bilgisayar korsanlarının söz konusu kimlik bilgilerini kullanmaları ve hatta başka eylemleri gerçekleştirmeleri için cihazlara erişmesine de izin verebilir.

Şu anda, ThreatFabric’e göre Alien aşağıda belirtilen yeteneklere sahiptir:

  • Diğer uygulamaların üzerine içerik yerleştirebilir (kimlik avı giriş kimlik bilgileri için kullanılacak olan özellik)
  • Günlük klavye girişi
  • TeamViewer örneği yükledikten sonra bir cihaza uzaktan erişim sağlayın
  • SMS mesajlarını toplayın, gönderin ya da iletin
  • Kişi listesini çal
  • Cihaz ayrıntılarını ve uygulama listelerini toplayın
  • Coğrafi konum verilerini toplayın
  • USSD isteklerinde bulunun
  • İleri aramalar
  • Diğer uygulamaları yükleyin ve başlatın
  • Tarayıcıları istenilen sayfalarda başlatın
  • Fidye yazılımı benzeri bir özellik için monitörü kilitleyin
  • Cihazda gösterilen koklama bildirimleri
  • Kimlik doğrulayıcı uygulamalar tarafından oluşturulan 2FA kodlarını çalın
  • Bu bir hayli etkileyici bir özellik dizisi. ThreatFabric, bunların çoğu zaman dolandırıcılıkla ilgili işlemler için kullanıldığını söylüyor, çünkü çoğu Android truva atı son günlerde hackerlar çevrimiçi hesapları hedef alarak para arıyor.
  • Analiz sırasında araştırmacılar , Alien’ın diğer 226 Android uygulaması için sahte giriş sayfaları gösterme desteği olduğunu bulduklarını söylediler ( ThreatFabric raporundaki tam liste ).
  • Bu sahte giriş sayfalarının çoğu, e-bankacılık uygulamaları için kimlik bilgilerini yakalamayı amaçlıyordu ve Alien’in sahtekarlık amaçlı olduğu değerlendirmesini açıkça destekliyordu.

Ancak Alien, e-posta, sosyal, anlık mesajlaşma ve kripto para birimi uygulamaları (yani, Gmail, Facebook, Telegram, Twitter, Snapchat, WhatsApp vb.) Gibi diğer uygulamaları da hedefledi.
Alien geliştiriciler tarafından hedeflenen bankacılık uygulamalarının çoğu, çoğu zaman İspanya, Türkiye, Almanya, Amerika, İtalya, Fransa, Polonya, Avustralya ve Birleşik Krallık’ta bulunan finans kurumları içindi.

” Gölgeli sitelerdeki uygulamaları yüklemeyin ve onlara yönetici hakları vermeyin ” tavsiyesinin açıkça görülmüş olduğu gibi , tüm Android kullanıcıları bunu anlayacak kadar teknik değildir ve pek çok kullanıcı uygulamaları herhangi biyerden indirip yükler ve sonra kurulum sırasında tüm istemleri tıklamanız yeterlidir.
Kötü amaçlı yazılım genel itibari ile bu biçimde çalışır ve “uzmanları” değil, teknik olmayan kullanıcıları hedef alır. Ve etrafta bu teknik olmayan kullanıcıların çoğu var, bu sebeple Android kötü amaçlı yazılımları son günlerde bilgisayar korsanlığı forumlarında neden çok büyük bir iş.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir