BankBot-YNRK ve DeliveryRAT, Android platformunda finansal verileri hedef alan gelişmiş Truva atlarıdır. CYFIRMA tarafından incelenen BankBot-YNRK örnekleri, kötü amaçlı yazılımın sanal ortamları tespit ederek analizden kaçınma mekanizmaları içerdiğini ve cihazın üretici, model ve işletim sistemi sürümü gibi detayları doğrulayarak yalnızca hedeflenen cihazlarda çalıştığını göstermektedir.
BankBot-YNRK’nin Teknik Özellikleri ve İşleyişi
BankBot-YNRK, Oppo ve ColorOS gibi Çinli OEM’lere özgü cihazları tanımlayabilmekte, ayrıca Google Pixel ve Samsung modellerini önceden tanımlanmış listelerle karşılaştırarak hedef cihazlarda optimize işlevsellik sunmaktadır. Kötü amaçlı APK’lar, Endonezya hükümetine ait gerçek bir uygulama olan “Identitas Kependudukan Digital” uygulamasını taklit eden “IdentitasKependudukanDigital.apk” adıyla dağıtılmaktadır.
Yüklendikten sonra cihaz bilgilerini toplayan yazılım, müzik ve bildirim seslerini sıfıra indirerek kullanıcıyı gelen aramalardan ve mesajlardan habersiz bırakır. Ayrıca, “ping.ynrkone[.]top” sunucusuyla iletişim kurar ve “OPEN_ACCESSIBILITY” komutu ile erişilebilirlik hizmetlerini etkinleştirmeye zorlayarak geniş ayrıcalıklar elde eder. Android 13 ve altı sürümlerde çalışan BankBot-YNRK, JobScheduler servisi ile kalıcılık sağlar ve cihaz yöneticisi ayrıcalıkları kazanarak MMI kodlarıyla arama yönlendirme, fotoğraf çekme, dosya yönetimi, SMS, konum, pano ve kişi listesi gibi hassas verilere erişim gerçekleştirir.
Ek olarak, Google News uygulamasını taklit ederek WebView üzerinden haber içerikleri açar, ekran içeriğini yakalayarak bankacılık uygulamalarının kullanıcı arayüzlerini yeniden oluşturur ve kripto para cüzdanlarını hedef alarak otomatik işlem başlatır. BankBot-YNRK, 62 finansal uygulamayı hedefleyen kapsamlı bir listeye sahiptir ve kullanıcıları ek izinler vermeye ikna eden örtü mesajları gösterir.
DeliveryRAT ve MaaS Modeli
Rusya merkezli F6’nın ortaya koyduğu DeliveryRAT, yiyecek teslimatı, pazar yeri ve bankacılık uygulamaları kılığında güncellenmiş bir kötü amaçlı yazılım sürümüdür. Telegram botları üzerinden MaaS (Malware as a Service) modeliyle dağıtılan bu kötü amaçlı yazılım, sahte pazar yerleri ve uzaktan çalışma fırsatları gibi yöntemlerle kullanıcıları oltalamaktadır. Uygulama, bildirimlere ve pil optimizasyon ayarlarına erişim talep ederek arka planda kesintisiz çalışır, SMS ve çağrı kayıtlarına erişir ve simgesini gizleyerek kaldırılmasını zorlaştırır.
DeliveryRAT’ın bazı sürümleri, dış sunuculara eşzamanlı istekler göndererek DDoS saldırıları gerçekleştirebilmekte ve kullanıcıları QR kodu taramaya yönlendirerek kimlik avı faaliyetleri yürütmektedir.
NFC ve Temassız Ödeme Verilerinin Tehlikesi
Zimperium’un Nisan 2024 raporuna göre, 760’tan fazla Android uygulaması NFC üzerinden ödeme verilerini yasa dışı şekilde ele geçirmekte ve uzak saldırgana iletmektedir. Sahte finansal uygulamalar, Android’in Host Card Emulation (HCE) teknolojisini kullanarak temassız kredi kartı verilerini çalmakta ve bu veriler Telegram kanalları veya özel tapper uygulamaları aracılığıyla tehdit aktörlerine aktarılmaktadır. Hedefler arasında Rusya başta olmak üzere Brezilya, Polonya, Çekya ve Slovakya’daki finansal kurumlar bulunmaktadır.
Bu kötü amaçlı yazılımlar, MCP istemcileri ve AsyncRAT benzeri uzaktan yönetim araçlarıyla benzerlik gösterirken, konteynerlerde rastgele SSH portları kullanarak gizlilik ve erişim sağlamaktadır. Pydantic AI gibi yapay zeka destekli analiz araçlarıyla tespit ve önlem süreçleri geliştirilmektedir.
BankBot-YNRK ve DeliveryRAT’ın keşfi, Android ekosisteminde finansal güvenlik tehditlerinin artışını ve gelişmiş tekniklerle donatılmış kötü amaçlı yazılımların yaygınlığını göstermektedir. Siber güvenlik profesyonelleri ve meraklı takipçiler için bu tehditlerin detaylı takibi ve önleyici tedbirlerin uygulanması kritik önem taşımaktadır.