Zimperium zLabs araştırmacısı Vishnu Pratapagiri, HOOK Android Truva Atı’nın en son sürümünde kurbanı fidye ödemeye zorlamak amacıyla tam ekran fidye yazılımı katmanı eklenebildiğini açıkladı. Bu katman, komut ve kontrol (C2) sunucusundan dinamik olarak alınan cüzdan adresi ve miktar bilgisiyle birlikte alarm verici bir ‘*UYARI*’ mesajı gösteriyor.
Mobil güvenlik firması, bu fidye katmanının “ransome” komutu ile uzaktan etkinleştirildiğini ve “delete_ransome” komutuyla kaldırılabildiğini belirtti. HOOK, ERMAC bankacılık Truva Atı’nın bir yan ürünü olarak ortaya çıktı; ERMAC’ın kaynak kodu daha önce kamuya açık bir dizinde sızdırılmıştı.
Gelişmiş Özellikler ve Yeni Komutlar
HOOK, finansal uygulamaların üstünde sahte katmanlar göstererek kullanıcı kimlik bilgilerini çalabiliyor ve Android erişilebilirlik servislerini kötüye kullanarak dolandırıcılığı otomatikleştirip cihazları uzaktan kontrol edebiliyor. Ayrıca belirli telefon numaralarına SMS gönderme, kurbanın ekranını yayınlama, ön kamerayla fotoğraf çekme ve kripto para cüzdanlarına ait çerezler ile kurtarma ifadelerini çalma gibi yeteneklere sahip.
Zimperium’a göre, son sürüm 38 yeni komut ekleyerek toplamda 107 uzaktan komut desteğine ulaştı. Bunlar arasında kullanıcı hareketlerini kaydetmek için şeffaf katmanlar, sahte NFC tarama ekranları ve kilit ekranı PIN veya desen bilgisi toplamak için aldatıcı istemler bulunuyor. Öne çıkan yeni komutlar şunlar:
- ransome: Fidye yazılımı katmanını gösterir
- delete_ransome: Fidye katmanını kaldırır
- takenfc: Sahte NFC tarama ekranı gösterir
- unlock_pin: Sahte kilit açma ekranı ile PIN/desen toplar
- takencard: Google Pay arayüzü taklidi ile kart bilgisi toplar
- start_record_gesture: Kullanıcı hareketlerini kaydeder
Yayılım ve Tehdit Aktörleri
HOOK, kimlik avı siteleri ve sahte GitHub depoları aracılığıyla kötü amaçlı APK dosyalarını yaymakta. Benzer şekilde ERMAC ve Brokewell gibi diğer Android kötü amaçlı yazılım aileleri de GitHub üzerinden dağıtılıyor, bu da tehdit aktörlerinin bu platformları yaygın şekilde kullandığını gösteriyor.
Zimperium, HOOK’un bankacılık Truva Atlarının casus yazılım ve fidye yazılımı taktiklerini hızla birleştirdiğini ve bu tehdit kategorilerinin sınırlarını bulanıklaştırdığını belirtti. Sürekli özellik genişlemesi ve yaygın dağıtımla, finans kurumları, işletmeler ve son kullanıcılar için artan bir risk oluşturuyor.
Anatsa Bankacılık Truva Atı ve Diğer Tehditler
Zscaler ThreatLabs ekibi, dünya genelinde 831’den fazla bankacılık ve kripto para hizmetini hedef alan güncellenmiş Anatsa sürümünü raporladı. Anatsa, dropper olarak dosya yöneticisi uygulaması taklidi yapıyor ve çalışma zamanında uzaktan Dalvik Executable (DEX) yükleyerek kötü amaçlı yükü gizlemek için bozuk arşivler kullanıyor.
Anatsa, Android erişilebilirlik servisleri için izin talep ederek SMS gönderme/alma ve diğer uygulamaların üstünde içerik çizme gibi ek izinleri kötüye kullanıyor. Google Play Store’da Anatsa, Joker ve Harly gibi çeşitli maskware ve kötü amaçlı yazılım ailelerinden 77 kötü amaçlı uygulama tespit edildi; bunların 19 milyondan fazla yüklemesi bulunuyor.
Maskware, meşru uygulamalar gibi görünen ancak kötü amaçlı içeriği gizlemek için karmaşıklaştırma ve dinamik kod yükleme teknikleri kullanan uygulamaları ifade ediyor. Harly ise Kaspersky tarafından 2022’de tespit edilen Joker varyantı olup, 2024 Mart ayında Human Security tarafından Google Play’de 95 kötü amaçlı Harly uygulaması keşfedildi.
Güvenlik araştırmacısı Himanshu Sharma, Anatsa’nın anti-analiz teknikleriyle evrimleşmeye devam ettiğini ve hedeflediği finansal uygulama sayısını 150’den fazla yeni uygulama ile artırdığını belirtti.
Google’ın Açıklaması
Haberin ardından Google, The Hacker News ile yaptığı açıklamada, bu kötü amaçlı yazılımı içeren uygulamaların Google Play’de bulunmadığını ve Android kullanıcılarının Google Play Protect sayesinde bilinen kötü amaçlı yazılım sürümlerine karşı otomatik koruma altında olduğunu belirtti. Google Play Protect, kötü amaçlı davranış sergileyen uygulamaları tespit edip kullanıcıları uyarabiliyor veya uygulamaları engelleyebiliyor.