Araştırmacılar, Bilgisayar Korsanlarının Yasal Android Uygulamalarını Trojonlaştırmasına İzin Veren Darknet Hizmetini Ortaya Çıkardı

Araştırmacılar, Bilgisayar Korsanlarının Yasal Android Uygulamalarını Trojonlaştırmasına İzin Veren Darknet Hizmetini Ortaya Çıkardı


08 Aralık 2022Ravie LakshmananMobil Güvenlik / Android Kötü Amaçlı Yazılım

Araştırmacılar, kurban havuzunu genişletmek amacıyla hem Android hem de Windows işletim sistemlerini hedefleyen yeni bir hibrit kötü amaçlı yazılım kampanyasına ışık tuttu.

Saldırılar, ERMAC gibi farklı kötü amaçlı yazılımların kullanılmasını gerektirir. ErbiyumAurora ve Laplas, bir göre ThreatFabric raporu The Hacker News ile paylaştı.

Hollandalı siber güvenlik şirketi, “Bu kampanya binlerce kurbanla sonuçlandı” dedi ve ekledi, “Erbium hırsızı, 1.300’den fazla kurbanın verilerini başarıyla sızdırdı.”

ERMAC enfeksiyonları, Android ve Windows için Wi-Fi yetkilendirme yazılımı sunduğunu iddia eden ve yüklendiğinde kripto cüzdanlarından ve diğer hassas verilerden tohum ifadeleri çalma özellikleriyle birlikte gelen sahte bir web sitesiyle başlar.

Android Kötü Amaçlı Yazılım
Android Kötü Amaçlı Yazılım

ThreatFabric ayrıca, Instagram gibi meşru uygulamaların truva atı haline getirilmiş sürümleri olan ve operatörlerin bunları gizlenmiş kötü amaçlı yükü iletmek için damlalık olarak kullandığı bir dizi kötü amaçlı uygulama bulduğunu söyledi.

Zombinder adlı hileli uygulamaların, Mart 2022’den beri tanınmış bir tehdit aktörü tarafından dark web’de reklamı yapılan bir APK bağlama hizmeti kullanılarak geliştirildiği söyleniyor.

Bu tür zombi uygulamaları, diğerlerinin yanı sıra İspanya, Portekiz ve Kanada’daki müşterileri hedefleyen SOVA ve Xenomorph gibi Android bankacılık truva atlarını dağıtmak için kullanıldı.

İlginç bir şekilde, ERMAC dağıtımı yapan bubi tuzaklı web sitesinde Windows için indirme seçeneği, güvenliği ihlal edilmiş sisteme Erbium ve Aurora bilgi hırsızlarını yerleştirmek için tasarlanmıştır.

ErbiyumYılda 1.000 ABD dolarına lisanslanan bir hizmet olarak kötü amaçlı yazılım (MaaS) olan , yalnızca parolaları ve kredi kartı bilgilerini çalmakla kalmıyor, aynı zamanda kripto işlemlerini kaçırmak için kullanılan Laplas kesme aracını düşürmek için bir kanal görevi gördüğü de gözlemlendi.

Araştırmacılar, “Bu kadar çok çeşitli truva atının varlığı, kötü niyetli açılış sayfasının birden çok oyuncu tarafından kullanıldığını ve onlara üçüncü taraf bir dağıtım hizmetinin parçası olarak sağlandığını da gösterebilir.”



siber-2