Anubis Android bankacılık kötü amaçlı yazılımı, şimdi yeni bir kötü amaçlı yazılım kampanyasında yaklaşık 400 finans kurumunun müşterilerini hedefliyor.
Tehdit aktörleri, giriş bilgilerini çalmaya çalışan bir Orange SA Android uygulamasını taklit ederek finansal kurumları, kripto para cüzdanlarını ve sanal ödeme platformlarını hedef alıyor.
Rapor, kötü amaçlı kampanyanın hala test ve optimizasyon aşamasında olduğunu belirten Lookout’taki araştırmacılardan geliyor.
Eski ama güçlü bir tehdit
Anubis ilk olarak 2016’da Rus bilgisayar korsanlığı forumlarında göründü ve istemcisini ve bileşenlerini uygulama talimatlarıyla birlikte açık kaynaklı bir bankacılık truva atı olarak paylaşıldı.
Takip eden yıllarda, Anubis daha fazla geliştirme çalışması aldı ve yeni kodu oyuncular arasında açıkça paylaşılmaya devam etti.
2019’da kötü amaçlı yazılım, neredeyse işlevsel görünen bir şey ekledi. fidye yazılımı modülü ve sahte uygulamalar aracılığıyla Google Play Store’a girmenin yolunu buldu.
2020’de Anubis, büyük ölçekli kimlik avı kampanyalarıyla geri döndü. 250 alışveriş ve bankacılık uygulaması.
Anubis, kullanıcılar kimlik bilgilerini çalmak için hedeflenen platformlar için uygulamalar açtığında sahte kimlik avı giriş formları gösterecek. Bu kaplama ekranı, gerçek uygulamanın oturum açma ekranı üzerinde gösterilecek ve gerçekte, girilen kimlik bilgileri saldırganlara gönderildiğinde kurbanların bunun meşru bir oturum açma formu olduğunu düşünmelerini sağlayacaktır.
Lookout tarafından tespit edilen yeni sürümde, Anubis artık 394 uygulamayı hedefliyor ve aşağıdaki yeteneklere sahip:
- Mikrofondan ekran etkinliğini ve sesi kaydetme
- Gizli iletişim ve paket teslimatı için bir SOCKS5 proxy’si uygulamak
- Ekran görüntüsü yakalama
- Cihazdan belirtilen alıcılara toplu SMS gönderme
- Cihazda kayıtlı kişileri alma
- Cihaz tarafından alınan SMS mesajları için bildirim gönderme, okuma, silme ve engelleme
- Çıkarmak için ilgilenilen dosyalar için cihazı tarama
- Cihaz ekranını kilitleme ve kalıcı bir fidye notu görüntüleme
- Banka bakiyelerini sorgulamak için USSD kod istekleri gönderme
- GPS verilerini ve pedometre istatistiklerini yakalama
- Kimlik bilgilerini çalmak için bir keylogger uygulamak
- Yer paylaşımlı saldırıları taklit etmek ve gerçekleştirmek için aktif uygulamaları izleme
- Kötü amaçlı işlevlerin durdurulması ve kötü amaçlı yazılımın cihazdan kaldırılması
Önceki sürümlerde olduğu gibi, en yeni Anubis, güvenliği ihlal edilen cihazda Google Play Korumalı’nın etkin olup olmadığını algılar ve kullanıcıyı kandırarak devre dışı bırakması için sahte bir sistem uyarısı gönderir.
Bu devre dışı bırakma, kötü amaçlı yazılıma cihaza tam erişim ve herhangi bir müdahale olmaksızın C2’den veri gönderme ve alma özgürlüğü verir.
dağıtım mekanizmaları
Oyuncular, Temmuz 2021’de Google Play mağazasına bir “fr.orange.serviceapp” paketi göndermeye çalıştı ancak uygulama reddedildi.
Dikkat tehdit aktörleri şaşırtma şemasını yalnızca kısmen uyguladığından, bunun yalnızca Google’ın kötü amaçlı yazılımdan koruma algılayıcılarını test etme girişimi olduğuna inanıyor.
Bu uygulama optimizasyonu ve şaşırtmaca, hem C2 iletişimleri hem de uygulama koduyla ilgili olarak devam etmektedir.
Sahte Orange uygulamasının dağıtımı şu anda kötü niyetli web siteleri, sosyal medyadaki doğrudan mesajlar, smishing ve forum gönderileri aracılığıyla gerçekleştiriliyor.
Lookout’un tehdit araştırmacısı Kristina Balaam, Bleeping Computer’a bu kampanyanın yalnızca Orange SA’nın Fransız müşterilerini değil, Amerikalı kullanıcıları da hedeflediğini söyledi.
Uygulamanın başarılı bir saldırıda kullanılıp kullanılmadığından emin olamasak da Bank of America, US Bank, Capital One, Chase, SunTrust ve Wells Fargo gibi ABD bankalarını hedeflediklerini biliyoruz.
Son kampanyanın arkasındaki aktör
Şu anda Anubis’i dağıtan aktörler hakkında somut bir bilgi yok çünkü C2 altyapı kayıt izlerini gizleyecek kadar dikkatliydiler.
Oyuncu, tüm ağ trafiğini SSL aracılığıyla yeniden yönlendirmek için Cloudflare’ı kullanırken, C2, “hhtps://quickbitrade” alanını kullanarak bir kripto para birimi ticareti web sitesi gibi görünüyor.[.]ile”.
Anubis ve C2 arasındaki iletişim henüz tam olarak güvenli değil, ancak yönetici paneli alanı erişilemiyor.
Anubis kodunun çok sayıda yer altı bilgisayar korsanlığı forumunu dolaştığını düşünürsek, onu kullanan bilgisayar korsanlarının sayısı çoktur ve tehdit aktörü çevrimiçi kişilerle bağlantı kurmak karmaşıktır.
Orange SA müşterilerinin uygulamayı yalnızca telco’nun resmi web sitesinden veya Google Play mağazasından tedarik etmeleri önerilir.
Ayrıca, bir uygulamayı indirip yüklediğinizde onayınızı vermeden önce istenen izinlere dikkat edin.