Hesap Bilgilerini Çalan Yeni Bir Android Kötü Amaçlı Yazılım Tespit Edildi

İtalyan Siber İstihbarat (CERT-AGID) yetkilileri, cihazların erişilebilirlik hizmetlerine müdahale ederek kullanıcı bilgilerini çalan, aynı zamanda ses ve görüntü kaydı yapabilen yeni bir Android kötü amaçlı yazılımı tespit etti.

CERT-AGID tarafından “Oscorp” olarak adlandırılan ve AdressIntel tarafından tespit edilen kötü amaçlı yazılım, siber suçluların mobil cihaz ekranın ne olduğunu ve ne yazıldığını görebildiği bir erişilebilirlik hizmeti indirmeye ikna ediyor.

Kumanda ve kontrol (C2) sunucusunun adı Oscorp olarak beliren kötü amaçlı uygulama programlama kiti (APK), “Assistenzaclienti.apk” veya “Customer Protection” olarak adlandırılıyor. Yazılım “supportoapp[.]com” alan adı üzerinden yayılıyor ve yüklenmesinin ardından erişilebilirlik hizmetinin aktif edilmesi için izin talep ediyor. Ardından bir C2 sunucusu ile bağlantı kurarak ek komutlar almaya devam ediyor.

Kullanıcının erişilebilirliği kapatmasının ardından, Oscorp mobil cihazın Ayarlar ekranını her sekiz saniyede bir açıyor ve kullanıcının erişilebilirlik ve cihaz kullanım verilerini görmek için izinleri tekrar açması için baskı kuruyor. İzinlerin verilmesinin ardından kötü amaçlı yazılım tuş hamlelerini kaydetmeye başlıyor, cihaz üzerindeki uygulamaları siliyor, aramalar yapıyor, SMS gönderiyor, Blockchain.com Wallet uygulamasına yönlendirme yaparak mobil kripto cüzdanlar para çalıyor, yetmezmiş gibi Google Authenticator uygulamasından iki adımlı doğrulama için gereken şifreleri temin ediyor.

Araştırmacılar, 9 Ocak tarihinde takip edilen bir saldırıda mobil cihazda 584 dolar değerinde kripto para bulunduğunu belirtti.

En son aşamada, Oscorp sistem bilgileri (yüklenmiş uygulamalar, telefon modeli, operatör vb.) dahil ele geçirdiği tüm bilgileri C2 sunucusuna aktarıyor. Bu esnada C2 sunucusundan aldığı komutlar ile Google Authenticator uygulamasından gerekli şifreleri alıyor, SMS mesajları çalıyor, uygulama siliyor, spesifik URL’ler giriyor, WebRTC aracılığı ile ekrandan ses ve görüntü kaydı alıyor.

Dahası, kötü amaçlı yazılımın enfekte ettiği mobil cihazı açan kullanıcılar kullanıcı ismi ve şifrelerinin sorulduğu oltalama sayfasına çıkıyor. Oltalama ekranının stilinin cihazdan cihaza değiştiği ve kullanıcıları kandırmak için özel tasarlandığı belirtildi.

Oscorp’un mobil cihazlarda hedeflediği uygulamaların hangileri olduğu spesifik olduğu bilinmezken, hassas bilgiler taşıdıklarından dolayı bankacılık ve mesajlaşma uygulamalarının hedef alındığı düşünülüyor.

CERT-AGID, kullanıcı gerekli erişim izinlerini vermediği sürece Android güvenlik önlemlerinin Oscorp’u durdurduğuna dikkat çekiyor. Eğer izin verilirse, barajın kapakları açılıyor… Güvenlik uzmanları, Android’in uygulama geliştiricilere karşı hoşgörülü bir politika izlediğini ve uygulamaya güvenip güvenmeme kararının kullanıcıya bırakıldığını belirtiyor.