Gigabud RAT: Android Bankacılık Kötü Amaçlı Yazılımı Tehdidi
Tayland, Endonezya, Vietnam, Filipinler ve Peru gibi ülkelerde bir dizi finansal kuruluşun müşteri hesapları, son zamanlarda ortaya çıkan bir Android bankacılık kötü amaçlı yazılımı olan Gigabud RAT tarafından hedefleniyor. Grup-IB araştırmacıları Pavel Naumov ve Artem Grischenko tarafından keşfedilen Gigabud RAT, benzersiz özellikleri ile dikkat çekiyor. Kullanıcılar, kötü amaçlı uygulamaya erişim kazanmadan önce herhangi bir zararlı eylem gerçekleştirmezken, bu durum tehdidin tespit edilmesini zorlaştırıyor.
Gigabud RAT, geleneksel HTML bindirme saldırıları yerine, hassas bilgileri çalmak için ekran kaydı yöntemini tercih ediyor. Banka ve devlet uygulamalarını taklit ederek, hassas verileri sızdırmak amacıyla tasarlandığı tespit edildi. Cyble adlı şirket tarafından Ocak 2023’te belgelenen bu zararlı yazılım, en az Temmuz 2022’den bu yana faaliyet gösteriyor. Singapur merkezli firma, Gigabud RAT’ın RAT yeteneklerinden arındırılmış bir varyantını daha tespit etti. Bu varyant, Gigabud.Loan adını taşıyor ve kullanıcı girdi verilerini sızdırmak amacıyla kredi başvurusu şeklinde geliyor. Araştırmacılar, düşük faizli kredi almak için ikna edilen kişilerin kişisel bilgilerini girdiği bir tuzak olarak kullanıldığını belirtiyor.
Her iki kötü amaçlı yazılım versiyonu da sosyal medya ağlarındaki SMS veya anlık mesajlar yoluyla kurbanlara iletilen kimlik avı web siteleri aracılığıyla yayılıyor. Gigabud.Loan, hedef kitleleri WhatsApp üzerinden iletilen APK dosyaları yoluyla da enfekte ediyor. Sosyal medya aracılığıyla hedeflenen kullanıcılar genellikle vergi incelemesi veya iade talebi bahanesiyle bu tuzak sitelere yönlendirilerek kandırılıyor. Android cihazlarda, varsayılan olarak “Bilinmeyen Kaynaklardan Yükle” ayarı devre dışı bırakılsa da, işletim sistemi, web tarayıcıları, e-posta istemcileri ve diğer uygulamalara izin vererek güvenilmeyen kaynaklardan gelen uygulamaların yüklenmesine olanak tanıyor. “REQUEST_INSTALL_PACKAGES” izni, yöneticiler ve mesajlaşma uygulamaları yoluyla isteniyor.
Kullanıcılar bu tür uygulamalara izin verdiğinde, tehdit aktörleri “Bilinmeyen Kaynaklardan Yükle” seçeneğini atlayarak hileli APK dosyalarını yükleyebiliyor. Gigabud, ekran kaydı ve tuş vuruşları gibi saldırıları gerçekleştirmek için erişilebilirlik hizmetleri izinlerini talep ederek diğer Android bankacılık truva atlarına benzer bir şekilde işliyor. Ayrıca, banka kartı numaralarını değiştirme ve uzaktan erişim yoluyla otomatik fon transferleri gibi yeteneklere sahip. Gigabud.Loan ise kişisel bilgileri çalmak amacıyla kullanıcıları kredi başvurusu gibi bir kisve altında kandırıyor.
Google Play Store’da, ekran kapalıyken reklam yükleyen 43 hileli uygulama tespit edildi. Bu uygulamalar toplamda 2,5 milyon kez indirildi, ancak geliştiriciler reklam sahtekarlığı bileşenini kaldırmak veya güncellemek için adımlar attı.
McAfee, reklam yazılımının kullanıcı izinlerini kullanarak diğer uygulamaları çektiğini ve kötü niyetli saldırılara kapı açtığını belirtiyor. Reklam sahtekarlığı kitaplığı, tespit edilmemek için geciktirme taktikleri kullanıyor ve operatörler tarafından uzaktan değiştirilebilen Firebase mesajlaşma hizmetini kullanarak ek karmaşıklık ekliyor.
FBI, kripto para birimi yatırım dolandırıcılığı kurbanlarının arttığına dikkat çekiyor. Dolandırıcılar, kurtarma ve izleme şirketi gibi davranarak kurbanlardan peşin ücret talep ediyor veya eksik veya yanıltıcı izleme raporlarıyla fonları geri kazanma bahanesiyle ek ücretler istiyor.
Ayrıca, siber suçlular kişisel bilgilerin ve finansal hesap verilerinin çalınmasını kolaylaştırmak için meşru görünen kripto para birimi yatırım uygulamalarını hedef alıyor. FBI, bu tür uygulamaların genellikle popüler uygulamalara benzer adlar ve açıklamalarla kurbanları çekmeye çalıştığını belirtiyor. Bu tür kötü niyetli uygulamalar, kurbanların güvenini kazanmak amacıyla kimlik avı veya aşk dolandırıcılığı gibi yöntemleri kullanarak onları sahte uygulamaları indirmeye ikna ediyor. Kurbanlar, gerçekten kripto para birimine yatırım yaptıklarını düşünerek paralarını gönderiyor,