Android telefonda Bankacılık uygulamarını etkileyen Truva Atı Chameleon her türlü Biyometrik Kimlik Doğrulamayı atlayabiliyor
Ocak 2023’te Chameleon Bankacılık Truva Atı, özellikle Avustralya ve Polonya’daki kullanıcılara odaklanarak Android ekosistemine sızmak için çeşitli dağıtım yöntemleri kullanan önemli bir tehdit olarak ortaya çıktı. Uygun bir şekilde ” Bukalemun ” olarak adlandırılan bu Truva atı, uygulama paketi adlarının incelenmesi de dahil olmak üzere çok sayıda yeni komut aracılığıyla uyarlanabilirliğini sergiliyor. Başlıca hedefleri, meşru bir uygulama gibi görünen kimlik avı sayfaları aracılığıyla dağıtım yapan mobil bankacılık uygulamalarıdır.
Zombinder, karmaşık iki aşamalı bir yük taşıma sürecini kullanır. SESSION_API’yi PackageInstaller aracılığıyla kullanıyorlar ve Chameleon örneklerini Hook kötü amaçlı yazılım ailesiyle birlikte dağıtıyorlar.
Zombinder aracılığıyla dağıtılan, yeni keşfedilen Chameleon kötü amaçlı yazılım türevine derinlemesine bir bakış sunuyor. Önceki modelin yeniden yapılandırılmış ve geliştirilmiş bir yinelemesini temsil eden bu geliştirilmiş Chameleon çeşidi, hedeflenen bölgeyi genişletirken Erişilebilirlik Hizmetini kullanarak Cihaz Devralma’yı (DTO) yürütmede öne çıkıyor. Araştırmamız, kötü amaçlı yüküne yerleştirilmiş yeni gelişmiş özellikleri ve yetenekleri sergileyerek bu mobil tehdidin evrimini vurguluyor.
Bukalemun Bankacılık Truva Atı
İlk kez 2023’ün başlarında görülen Chameleon bankacılık truva atı, ilk geliştirme aşamasında keşfedildi. Çeşitli kaydedicilerin kullanımı, sınırlı kötü amaçlı işlevler ve iyi tanımlanmış ancak kullanılmayan komutlarla işaretlenmiş olan bu özellik, daha fazla gelişme ve etki için açık bir potansiyele işaret ediyordu.
Bu bankacılık truva atı, kurbanın cihazını manipüle etme ve bir proxy özelliği aracılığıyla kurban adına eylemler gerçekleştirme konusunda ayırt edici bir yetenek sergiledi. Bu özellik , özellikle bankacılık uygulamalarını ve kripto para birimi hizmetlerini hedef alan Hesap Devralma ( ATO ) ve Cihaz Devralma ( DTO ) saldırıları gibi gelişmiş manevralara olanak tanır. Bu işlevler Erişilebilirlik Hizmeti ayrıcalıklarının kötüye kullanılmasına dayanıyordu.
Chameleon bankacılık truva atının önceki versiyonu da çeşitli dağıtım yöntemleri kullanıyordu; kimlik avı sayfaları aracılığıyla kendisini meşru uygulamalar gibi göstermeyi ve dosya dağıtımı için meşru bir İçerik Dağıtım Ağı (CDN) kullanmayı tercih ediyordu.
Özellikle, kendisini Avustralya Vergi Dairesi (ATO) gibi kurumlar ve Polonya’daki popüler bankacılık uygulamaları olarak gizlediği Avustralya ve Polonya’yı hedef aldı.
Bu hedefe yönelik strateji, bu bölgelerdeki bankalar ve diğer finansal kuruluşlar için önemli endişelere yol açmaktadır. Truva atının güvenilir uygulamaları taklit etme konusundaki ustalığı, yaygın etki potansiyelini artırıyor ve mobil güvenlik ortamına yönelik tehdidinin önemini vurguluyor.
Geliştirilmiş Bukalemun Varyantını Tanıtıyalım
Chameleon bankacılık truva atının selefinin özelliklerini taşıyan geliştirilmiş bir versiyonu ortaya çıktı. Bu yeni varyant, hedef bölgesini Birleşik Krallık (İngiltere) ve İtalya’daki Android kullanıcılarını da kapsayacak şekilde genişletti .
Yeni keşfedilen bu varyant, Erişilebilirlik Hizmeti aracılığıyla Cihaz Devralma (DTO) özelliği de dahil olmak üzere kötü niyetli arayışlarını sürdürüyor. Zombinder aracılığıyla dağıtılan bu yeni varyantın örnekleri, gelişmiş özellikler sunarken tutarlı bir işleyiş tarzı sergiliyor. Özellikle, genellikle Google Chrome uygulamaları gibi görünerek dağıtılıyorlar.
Değiştirilmiş Bukalemun Varyantının Yeni Özellikleri
Güncellenen Chameleon varyantında iki yeni özellik öne çıkıyor: Biyometrik istemleri atlama yeteneği ve Android 13’ün “Kısıtlı Ayarlar” özelliğini uygulayan cihazlarda erişilebilirlik hizmetini etkinleştirmek için bir HTML sayfası görüntüleme yeteneği.
Bu geliştirmeler, yeni Chameleon versiyonunun karmaşıklığını ve uyarlanabilirliğini artırarak onu sürekli gelişen mobil bankacılık truva atları ortamında daha güçlü bir tehdit haline getiriyor.
Sonraki bölümlerde, yeni Chameleon bankacılık truva atının karmaşıklıklarına daha yakından bakacağız; yeteneklerini, taktiklerini ve siber güvenlik ortamına teşkil ettiği potansiyel riskleri açığa çıkaracağız.
- Android 13: Erişilebilirlik Hizmetini Etkinleştirmek için HTML İstemi
Yeni Chameleon versiyonunun özellikleri arasında bir özellik özellikle öne çıkıyor: Bu özellik , Komuta ve Kontrol (C2) sunucusundan ” android_13 ” komutunun alınmasıyla etkinleştirilen cihaza özel bir kontrolü içeriyor .
Örneğin, yeniden ortaya çıkan Chameleon çeşidi, uygulamalara uygulanan kısıtlamalara sahip Android 13 tabanlı bir cihaza kurulum tespit ettiğinde dinamik olarak yanıt veriyor. Kötü amaçlı yazılım, kullanıcılardan Erişilebilirlik hizmetini etkinleştirmelerini isteyen bir HTML sayfası görüntüler. Bu adım, Cihaz Devralma (DTO) saldırılarının başarılı bir şekilde yürütülmesi için bu hizmete bağlı olduğundan Chameleon kötü amaçlı yazılım ailesi için çok önemlidir.
Aşağıdaki kod parçacığı, kötü amaçlı yazılımın, etkilenen cihazın kısıtlı ayar durumunu kontrol etmek için kullandığı yöntemi özetlemektedir:
if (!class.devicebuild() && (class2.commandlist(“android_13”, Boolean.valueOf(true)) && Build.VERSION.SDK_INT >= 33 && !class2.commandlist(“restrict_opened”, Boolean.FALSE)) { this.startActivity(new Intent(this, class0).putExtra(“action”, “restriction”)); }
Bankacılık truva atı, virüslü cihazda Android 13 Kısıtlı Ayarların mevcut olduğunun onayını aldıktan sonra bir HTML sayfasının yüklenmesini başlatır. Sayfa, Android 13 ve sonraki sürümlerde Erişilebilirlik Hizmetini etkinleştirmek için kullanıcılara adım adım manuel işlem konusunda rehberlik ediyor. Aşağıdaki görsel temsil, yeni Chameleon versiyonunun Android 13 ortamına uyarlanmasına genel bir bakış sunmaktadır. Bu yeni işlevsellik, yeraltı aktörlerinin çabalarını engellemek için tasarlanan en son güvenlik önlemlerine nasıl yanıt verdiklerini ve sürekli olarak onları aşmaya çalıştıklarını bir kez daha gösteriyor.
Bukalemun, tehdit aktörlerinin güvenlik önlemlerini atlamak için damlalıkları uyarladığı ve kötü amaçlı yazılımlara Android 13 kısıtlama kontrollerini entegre ettiği bir trend örneğidir.
- Biyometrik Operasyonları Bozmak _ _ _ _ _
Yeni Chameleon çeşidi, hedeflenen cihazın biyometrik işlemlerini kesintiye uğratmayı amaçlayan bir özellik sunuyor. Bu özellik ” interrupt_biometric ” komutunun verilmesiyle etkinleştirilir . Kötü amaçlı yazılım, bu komutu aldıktan sonra ” InterruptBiometric ” yöntemini çalıştırır.
Bu yöntem, ekran ve tuş kilidi durumunu değerlendirmek için KeyguardManager API’sini ve AccessibilityEvent’i kullanır. Desen, PIN veya şifre gibi çeşitli kilitleme mekanizmalarıyla ilgili tuş kilidinin durumunu değerlendirir. Belirtilen koşulların karşılanması üzerine kötü amaçlı yazılım, biyometrik kimlik doğrulamadan PIN kimlik doğrulamasına geçiş yapmak için AccessibilityEvent eylemini kullanır. Bu, biyometrik istemi atlayarak truva atının istediği zaman cihazın kilidini açmasına olanak tanır.
‘Standart’ kimlik doğrulamaya geri dönmeye zorlamak yeraltı aktörlerine iki avantaj sağlar. İlk olarak, biyometrik veriler bu tehdit aktörleri için erişilemez durumda olduğundan, keylogging işlevleri aracılığıyla PIN’lerin, şifrelerin veya grafik anahtarların çalınmasını kolaylaştırır.
İkinci olarak, bu geri dönüşten yararlanmak, aynı aktörlerin daha önce çalınmış PIN’leri veya şifreleri kullanarak cihazların kilidini açmasına olanak tanır. Bu, Erişilebilirlik eylemleri aracılığıyla gerçekleştirilir.
Dolayısıyla, kurbanın biyometrik verileri aktörlerin erişiminden uzak kalsa da, cihazı PIN kimlik doğrulamasına geri dönmeye zorluyorlar ve böylece biyometrik korumayı tamamen atlıyorlar.
Aşağıdaki kod parçacığı, KeyGuard durumunu değerlendiren kötü amaçlı yazılımı göstermektedir:
public final void interruptBiometric(AccessibilityEvent accessibilityEvent0) { if (accessibilityEvent0.getPackageName() != null) { if (bCBFNOgmB2372b7065b5f58f8f9f.screenstatus != 1 && (KeyguardManager != null && (KeyguardManager.isKeyguardSecure()))) { if (getInstance.findViewByContainsID(getInstance.getRootInActiveWindow(), “lockPatternView”) != null) { return; } if (getInstance.findViewByContainsID(getInstance.getRootInActiveWindow(), “pinEntry”) != null) { return; } if (getInstance.findViewByContainsID(getInstance.getRootInActiveWindow(), “passwordEntry”) != null) { return; } }
Biyometrik güvenlik önlemlerini etkili bir şekilde atlatmaya yönelik bu işlevsellik, mobil kötü amaçlı yazılım ortamında endişe verici bir gelişmedir.
- Görev Planlama ve Etkinlik Kontrolü
Daha önce tartışılan özelliklere ek olarak, güncellenmiş Chameleon varyantı, diğer birçok bankacılık truva atında da bulunan bir yeteneği sunar: AlarmManager API’sini kullanarak görev planlama, daha önceki “devam eden çalışma” varyantında bulunmayan bir özellik.
Görev planlama truva atları arasında yaygın olsa da, bu uygulamayı farklı kılan şey dinamik yaklaşımı, erişilebilirliği verimli bir şekilde yönetmesi ve standart truva atı davranışı doğrultusunda etkinlik başlatmalarıdır.
Güncellenen Chameleon sürümü yeni bir komutu destekler: ” inejction_type ” [sic]. Bu komut, truva atının görev planlama mekanizmasına benzersiz bir öğe katar. Erişilebilirliğin devre dışı olup olmadığına bağlı olarak, belirli bir komut alındığında otomatik olarak “a11y “den (a11y erişilebilirliğin kısaltmasıdır) ” kullanım istatistiklerine ” geçer . Etkinleştirilirse, kötü amaçlı yazılım “Enjeksiyon” etkinliği aracılığıyla katman saldırıları başlatır.
Erişilebilirlik hizmeti devre dışı bırakılırsa, kötü amaçlı yazılım sorunsuz bir şekilde ” a11y “den ” kullanım istatistiklerine ” geçiş yaparak Android 13 veya üzeri sürümlere sahip Android cihazlarda kullanıcı uygulaması kullanımına ilişkin bilgi toplar . Ön plan uygulamasını da içeren bu veriler, ön plan uygulamasını belirlemek ve kaplama mı yoksa enjeksiyon etkinliği mi başlatılacağına karar vermek için alternatif bir yöntem sağlar.
public final void run() { ((AlarmManager) class.this.getApplicationContext().getSystemService(“alarm”)).set(0, System.currentTimeMillis() + 60000 L, PendingIntent.getBroadcast(class.this.getApplicationContext(), 5333, new Intent(class.this.getApplicationContext(), class2.class), 0xC000000)); if (!class.accessibility_enabled(class2.class) || (class.list(“inejction_type”, “a11y”).equals(“usagestats”))) { if (class.usage_stats()) { String s = class.this.currentActivity(); if ((class.commandlist(“injection”, Boolean.TRUE)) && (class.config(s)) && !false) { new Handler(Looper.getMainLooper()).post(new Runnable() { @Override public final void run() { ActivityThread.startActivity(new Intent(ActivityThread, class2.class).putExtra(“app”, this.val$lastPackage).addFlags(0x10000000).addFlags(0x8000)); }
Yeni Chameleon bankacılık truva atının ortaya çıkışı, Android ekosistemindeki karmaşık ve uyarlanabilir tehdit ortamının bir başka örneğidir. Daha önceki yinelemesinden geliştirilen bu varyant, daha fazla dayanıklılık ve gelişmiş yeni özellikler sergiliyor. Birleşik Krallık ve İtalya’daki kullanıcılara daha fazla odaklanan Truva atı, Zombinder aracılığıyla dağıtım ve Chrome uygulaması gibi meşru uygulamalar gibi görünme dahil olmak üzere birden fazla dağıtım yöntemi kullanıyor.
Truva atının, Android 13 cihaz değerlendirmeleri için HTML sayfaları ve biyometrik işlemlerin kesintiye uğraması gibi yeni özellikleri dikkate değerdir; her ikisi de onun uyarlanabilir yeteneklerini gösterir. Erişilebilirlik ayarlarının manipülasyonu ve dinamik etkinlik başlatmaları, yeni Chameleon’un gelişmiş bir Android kötü amaçlı yazılım türü olduğu belirtilmektedir.
Comments are closed