GodFather Android Kötü Amaçlı Yazılımı Verileri Çalmak İçin Bir Sandbox'ta Gerçek Uygulamaları Çalıştırıyor

Fernando Ortega ve Vishnu Pratapagiri liderliğindeki Zimperium zLabs'taki siber güvenlik araştırmacıları, meşru mobil uygulamaları ele geçirmek için cihaz içi sanallaştırma adı verilen gelişmiş bir teknik kullanan tehlikeli bir yeni GodFather Android kötü amaçlı yazılımı sürümünü ortaya çıkardı. Özellikle bankacılık ve kripto para uygulamalarını hedef alarak kendi cihazınızı etkili bir şekilde bir casusa dönüştürüyor.

Kötü amaçlı yazılım yalnızca sahte bir görüntü göstermek yerine gizli bir ana bilgisayar uygulaması yükler, bu uygulama daha sonra bankacılık veya kripto uygulamanızın gerçek bir kopyasını kendi kontrollü alanı olan bir sanal alanda indirir ve çalıştırır. Gerçek uygulamanızı açmaya çalıştığınızda, kötü amaçlı yazılım sizi bu sanal versiyona yönlendirir.

Kötü amaçlı yazılım daha sonra gerçek zamanlı olarak her eylemi, dokunuşu ve yazdığınız kelimeyi izler ve kontrol eder, böylece gerçek uygulama ile etkileşimde bulunduğunuz için, sadece manipüle edilmiş bir ortamda olduğunuz için yanlış bir şey fark etmeniz neredeyse imkansız hale gelir. Bu karmaşık teknik, saldırganların kullanıcı adlarını, parolaları ve cihaz PIN'lerini ele geçirmesine ve hesaplarınızın tam kontrolünü ele geçirmesine olanak tanır.

Bu yöntem saldırganlara büyük bir avantaj sağlar. Siz girerken hassas verileri çalabilir ve hatta uygulamanın çalışma şeklini değiştirebilir, bir telefonun kökünü kazımayı tespit edenler de dahil olmak üzere güvenlik kontrollerini atlatabilirler. Özellikle, GodFather bankacılık kötü amaçlı yazılımı, aldatıcı saldırılarını yürütmek ve tespit edilmekten kaçınmak için VirtualApp ve XposedBridge gibi birkaç meşru açık kaynaklı aracın yeniden kullanılmasıyla oluşturulmuştur.

GodFather gelişmiş sanallaştırmasını kullanırken, aynı zamanda geleneksel üst üste bindirme saldırılarını kullanmaya devam ediyor ve aldatıcı ekranları doğrudan meşru uygulamaların üzerine yerleştiriyor. Bu ikili yaklaşım, tehdit aktörlerinin yöntemlerini uyarlamadaki olağanüstü yeteneklerini gösteriyor.

Şirketin blog yazısına göre, GodFather Android kötü amaçlı yazılım kampanyası yaygın olup küresel çapta 484 uygulamayı hedef alıyor, ancak son derece gelişmiş sanallaştırma saldırısı şu anda 12 belirli Türk finans kuruluşuna odaklanıyor. Bu geniş erişim sadece bankacılık ve kripto para platformlarını değil, aynı zamanda ödemeler, e-ticaret, sosyal medya ve iletişim için büyük küresel hizmetleri de içeriyor.

Kötü amaçlı yazılım ayrıca güvenlik araçları tarafından bulunmamak için akıllıca numaralar kullanır. APK dosyalarının (Android uygulama paketleri) bir araya getirilme şeklini değiştirir, şifrelenmiş gibi görünmeleri için yapılarını bozar veya $JADXBLOCK gibi yanıltıcı bilgiler ekler. Ayrıca zararlı kodunun çoğunu uygulamanın Java kısmına taşır ve Android manifest dosyasını alakasız bilgilerle okunmasını zorlaştırır.

Daha detaylı incelemeler, GodFather'ın hala Android'in erişilebilirlik hizmetlerini (engelli kullanıcılara yardımcı olmak için tasarlanmış) kullanıcıları uygulamasının gizli bölümlerini yüklemeleri için kandırmak amacıyla kullandığını ortaya çıkardı. "Uygulamanın tüm özelliklerini kullanmak için izne ihtiyacınız var" gibi aldatıcı mesajlar kullanıyor ve erişilebilirlik izinleri elde ettiğinde, kullanıcı bilgisi olmadan gizlice kendisine daha fazla izin verebiliyor.

Ayrıca, kötü amaçlı yazılım, kontrol sunucusuna (C2) bağlandığı yer gibi önemli bilgilerini kodlanmış biçimde gizler ve bu da bunların izlenmesini zorlaştırır. Etkinleştiğinde, ekranınızın ayrıntılarını saldırganlara göndererek onlara cihazınızın gerçek zamanlı bir görünümünü verir. Bu keşif, dolayısıyla, tehditler daha karmaşık ve tespit edilmesi daha zor hale geldikçe mobil güvenlikteki devam eden zorluğun altını çizer.

Bugcrowd'un Kurucusu Casey Ellis , " Bu kesinlikle yeni bir teknik ve potansiyelini görebiliyorum " dedi. " Tehdit aktörlerinin bunu Türkiye dışında konuşlandırmaya karar verip vermeyeceğini ve diğer tehdit aktörlerinin benzer bir yaklaşımı kopyalamaya çalışıp çalışmayacağını, bunun vahşi doğada ne kadar etkili olduğunu görmek ilginç olacak. "