Darknet’te Android ‘e Özgü Zararlı Yazılımların Yükselişi

2020: “RAT” yılı

2020, büyük ve küçük ölçekli fidye yazılımı saldırılarındaki artışla tanınırken, bu da sektörler
arasında ayrım gözetmeden fırladı, analistlerimiz ayrıca Android tabanlı Uzaktan Erişim Araçları (RAT) tekliflerinde bir artışa tanık oldu. Bu kriminal beyinli dijital silahlar, yalnızca Android mobil cihazlardan bilgi almak ve casusluk yapmak için değil, aynı zamanda çoğu zaman son saldırılarda konuşlandırılan fidye yazılımı varyantlarının çoğunun teslim edildiği saldırı vektörüdür.

Android’e özgü zararlı yazılımlar, özellikle bir “şifreleyici” ile birlikte kullanılıyorsa, Android
işletim sistemli cihazları kullanan ticari ve devlet kuruluşlarına yönelik birçok inandırıcı tehditten biridir. DarkOwl, hackerlarının “Sauron Locker” gibi mobil fidye yazılımlarını başarıyla dağıttığını keşfetti ve COVID-19 test uygulaması olarak gizlenmiş AhMyth gibi RAT’lar, kullanıcının bilgisi olmadan mobil cihazın içeriğini ‘dışarı çıkarmak’ ve ayrıca kripto para birimi fidyesi ödenene kadar kullanıcıyı kilitleyerek ‘gasp’ etmek için tasarlanmıştır.

Darknet’te Zararlı Yazılım

Önceki raporlamada tartışıldığı gibi, benzersiz bir hedef yelpazesine yönelik saldırı operasyonları planlayan bir hacker, hedeflerini istikrarsızlaştırmak ve / veya onlara zarar vermek için cephanelerinde bulunan siber silahları ve araçları kullanacaktır. Sıradan vatandaşlar, devlet memurları, sağlık çalışanları, avukatlar vb. Arasında değişen hedefler, Android işletim sisteminin açık kaynak doğası, doğrudan yazılım keşfi ve teknolojideki güvenlik açıklarının nihai kullanımı için mükemmel bir başlangıç ​​noktası sağlar. Bu fırsat, ulus devlet yetkililerine ve onların vekillerine özel değildir, ancak yeraltı zararlı yazılım geliştirme topluluğuna giren amatör siber suç meraklıları, siber araç envanterlerinde bu tür istismarları kullanmak için siyasi gündem veya sosyal hareket gibi doğru motivasyonu mükemmel bir şekilde sağlayabilirler.

Zararlı yazılım dağıtmanın ve cihaz güvenlik açıklarından yararlanmanın başarılı bir şekilde uygulanması, kullanılan zararlı yazılımları, VPN’leri, RDP’leri, uzaktan yönetim araçları, fidye yazılımları için anonim bağlantı noktası iletimi için DNS barındırma hizmetlerinin yanı sıra zararlı yazılımı tamamen tespit edilemez hale getirmek için gereken özel şifreleyici satın alma seçeneğine de sahiptir.

Darknet’te RATs: Teklif İçin Ortak Varyantlar

CERBERUS

2019’ten bu yana, en çok tartışılan RATlardan biri, özellikle Google Play store ve Android mobil işletim sistemleri tarafından desteklenen bankacılık uygulamalarını hedefleme bağlamında Cerberus’tur.

Cerberus RATı, hedefinin cihazında derin gözetim yapabilir, telefonun uygulamalarıyla ve dışarıyla olan şifreli iletişimine müdahale edebilir. RAT için bir güncelleme, Google Authenticator gibi uygulamalardan iki adımlı kimlik doğrulama (2fa) kodlarını çalmak gibi ek güvenlik kaçınma işlevlerine sahip olan 2020’de (v2) ortaya çıktı.

Android 2019’ten bu yana, en çok tartışılan RATlardan biri, özellikle Google Play store ve Android mobil işletim sistemleri tarafından desteklenen bankacılık uygulamalarını hedefleme bağlamında Cerberus’tur.

Esasen, Cerberus RAT, hedefin cep telefonunun kilit açma desenini veya PIN’ini, Google Authenticator kodlarını yakalayabilir ve kaydedebilir ve iki adımlı kimlik doğrulaması yapmak için gerekli olan SMS mesajlarını yakalayabilir. Benzer şekilde, bu zararlı yazılım, banka dolandırıcılığını gerçekleştirmek için gerekli tüm verileri almak için oturan ve bekleyen hedef ile mobil bankacılık uygulaması arasında kendini gömebilir.

Temmuz 2020’nin sonlarında, Cerberus geliştiricileri, görünüşe göre iç grup çatışmaları ve müteakip kırılmalar nedeniyle bankacılık sahtekarlığı işinden çıkmaya karar verdiler ve ana geliştirici, açık artırma için kaynak kodu ve C2 Ağı da dahil olmak üzere tüm operasyonlarını teklif etti. Ne yazık ki, hiç kimse suç operasyonlarını üstlenmekle ilgilenmiyordu ve geliştiriciler bunun yerine Cerberus zararlı yazılımının kaynak kodunu serbest bıraktılar. Açık artırma, popüler darknet kötü amaçlı yazılım forumu exploit’te 25.000 $ ‘lık bir başlangıç fiyatı ve 10.000 $’ lık bir aylık karla pazarlandı.

Forumdaki diğer kullanıcılar, Google Play’in Cerberus’un ana modül imzasını algılayabilen bir güvenlik güncelleştirmesi yayınladığını ve bu RATın yazılım değişiklikleri olmadan artık geçerli olmadığını öne sürdü.

ALIEN

Cerberus kaynak kodu sızıntısından birkaç hafta sonra, Alien adlı cerberus’un (v1) ilk varyantının çatalı darknet’te satışa çıktı. Cerberus’un sağladığı tüm temel yeteneklere ek olarak, Alien ayrıca bir keylogger, cihaz uygulama yüklemeleri, kaldırma ve servis başlatma ve durdurma, 2fa authenticator stealer ve cihaz bildirim sniffer’ı da içeriyordu. Alien RAT, ticari TeamViewer uygulamasını hedefin mobil cihazında başarılı bir şekilde yükler ve kullanır ve hackerlara cihazın ve sahibinin davranışlarının tam uzaktan kontrolünü ve gözlemini sağlar.

Darknet forumunun uzun zamandır kullanıcısı olan exploit, “megabyte ” takma adını kullanarak, ilk olarak 14 Ağustos 2020’de Alien Android RAT’I 4,500 USD karşılığında kullanmak için üç aylık bir lisans sundu.

AHMYTH

Son üç yılda, AhMyth, darknet’te aktif olarak işlem gören ve tartışılan bir başka zararlı Android RATıdır. Onun depoları üzerinde github.com son zamanlarda üç ay önce güncellendi. RAT, electron-framework tabanlı bir sunucu tarafı masaüstü uygulaması ve istemci veya hedefin Android cihazı için APK yükleyicileri içerir. Geliştirici, @Ahmythdev’in altında Twitter’da aktif olarak çalışıyor ve konumlarının umman olduğunu söylüyor.

ROGUE

Bu yılın başlarında, açık kaynak raporları, Rogue RAT geliştiricilerinin zararlı yazılımları darknet forumlarında takvim ayı başına sadece 29$ karşılığında kiralayarak ve 3 ay boyunca 45$ ve ömür boyu üyelik gibi indirimler sunduğunu belirtti. Araştırmacılara göre Rogue RAT, kötü niyetini gizlemek için Google’ın Firebase geliştirme platformunu ve kullanıcı eylemlerini izleme kısıtlamalarını aşmak için Android’in Erişilebilirlik Hizmetlerini kullanıyor ve virüs bulaşmış cihazda bu tür mesajları görüntülemek için kendi bildirim hizmetini kaydedediyor.

“Triangulum” olarak bilinen RAT Satıcısı, Nisan 2020’de deep web forumlarında zararlı yazılımın 6.2 sürümünü yayınladı ve kaynak kodu da ortaya çıktı ve Rogue RAT’IN benzersiz bir zararlı yazılım kod tabanı gibi görünmediğini, bunun yerine DarkShades olarak bilinen daha önceki bir varyant için bir güncelleme olduğunu ortaya koydu.

COVİD TEMALI (GİZLENMİŞ) RATLAR

AhMyth Android RATının açık kaynak doğası göz önüne alındığında, DarkOwl analistleri AhMyth kaynak koduna dayanan çeşitli zararlı Android RAT varyasyonlarını gözlemlediler. Örneğin, Android için zararlı bir sahte Hint tabanlı COVİD uygulaması 2020’de AhMyth RAT ile kayda değer benzerliklerle ortaya çıktı. Komut ve kontrol (C2) sunucusunun IP adresi, özel bir IP adresi olarak tanımlandığı gibi sabit kodludur: 192.168.1.99:1234 ve genel IP: 122.10.114.159.

Diğer Twitter kullanıcıları, bir Covid-19 test uygulaması olarak gizlenmiş AhMyth RATını gözlemledi. Gözlemler, Eylül 2020’de Fransa’da, meşru hizmetleri taklit eden sahte bir web sitesinin hxxp: / / tweensangoma olarak tanımlanan bir C2 alanı ile ortaya çıktığı zaman ortaya çıktı.servebbs[.] com: 22222.

Güvenlik araştırmacıları, Pakistanlı hack grubu Transparent Tribe, covid ile ilgili izleme uygulamalarını zararlı mobil yazılımlara hizmet etmek için aktif olarak kullandığını değerlendiriyor. Hedefleri genellikle Hint hükümet kuruluşları ve kişiler ve zararlı yazılımların neden Hint’e özgü covid izleme uygulamalarının yanında bulunduğunu açıklıyor. Bu grup sadece Hint örgütlerini hedef olarak almıyor. Çok sayıda darknet kaynağı, grubun 27’den fazla ülkede 1000’den fazla hedefe başarılı bir şekilde saldırdığını ve zorlu bir suç siber örgütü olarak sunulduğunu iddia ediyor.

İnternet güvenlik şirketi DomainTools, coronavirus salgınının coğrafi izleme aracı olarak gizlenen “COVİD19 Tracker” adlı bir Android uygulamasının aslında kullanıcıların telefonunu kilitleyen ve 48 saat içinde bitcoin’de 100$ ‘ lık bir ödeme talep eden bir ransomware olduğunu keşfetti.

Daha yakın zamanlarda, “Shade Me” adlı nispeten yeni bir darknet kullanıcısı, on iki COVİD başlıklı Android RATı için uzlaşma göstergeleri (IOC) olarak kullanılan MD5 karmalarını listeledi. “En popüler Android tehditleri 2020” başlıklı yazıları, Eylül 2020’de popüler bir deep web Forumunda yayınlandı. Hem Covid-Ahmyth hem de Covid-Cerberus listeye dahil edildi. GitHub kullanıcısı sk3ptre, hxxps://github.com/sk3ptre/AndroidMalware_2020 adresindeki github deposundaki canlı kötü amaçlı yazılım suçları da dahil olmak üzere aynı listeyi paylaştı.

Daha ayrıntılı inceleme: Darknet’te Android ‘e özgü fidye yazılımı

2020’de dünya çapındaki kurumsal ağların fidye yazılımı saldırılarıyla ilgili tüm tanıtımlarla, Android ve iOS gibi mobil cihazların fidye yazılımı saldırısına açık olduğunu çok az kişi fark etti. Kolluk kuvvetleri bunu bildiklerini belirterek 2020 ortalarında DDoSecrets tarafından sızdırılan BlueLeaks koleksiyonundaki istihbarat brifinglerinde uyarıda bulundu.

Darknet tartışma forumundaki kullanıcılar, ayrıca Android tabanlı sofistike fidye yazılımının yeraltındaki en üretken fidye yazılımı suç çetelerinden bazıları tarafından geliştirildiğini onaylıyorlar.

DarkOwl analistleri, satılan veya darknet ve deep web’de kullanılabilen Android’e özgü popüler fidye yazılımı yüklerinin dikkate değer bir incelemesinin ardından, Android tabanlı fidye yazılımı ve cihaz kilitlemesinin bağımsız fidye yazılımı yüklerinin, RAT’ların ve bankacılık botnetlerinin dikkate değer bir özelliği olacağına inanıyor.

Önemli hackerlardan ve saygın darknet gizli hizmetlerinden, fidye yazılımının nasıl kullanılacağına dair talimatların eşlik ettiği çok sayıda ücretsiz ve pay2play indirmesi mevcuttur. Ayrıntılı talimatların mevcudiyeti en acemi zararlı yazılım fanatiğinin bu tür kötü amaçlı kodları fazla çaba harcamadan eyleme geçirmesini kolaylaştırır.

SAURON LOCKER

Sauron Locker’ın, orijinal olarak Supercell tarafından geliştirilen popüler mobil oyun Clash Royale’ın kırık bir versiyonunda Android cihazlara dağıtıldığı görüldü. Üçüncü taraf web sitelerinde ücretsiz kırılmış sürümü almayı uman şüphesiz hedeflere bunun yerine zararlı fidye yazılımı ve görüntülenen fidye yazılımı talepleriyle kilitlenmiş cihazları teslim edildi. Sauron Locker ayrıca, hedeflerinin konumuna göre özel fidye yazılımı notları ve ödeme talepleri sağlamasına olanak tanıyan coğrafi konum tespiti de içerir. Araştırmacılar, dolabın ABD’deki hedefler için Avrupa veya Rusya’dan daha fazla fidye talep ettiğini gözlemlediler.

Sauron Locker, son zamanlarda blackhatrussia kullanıcısı tarafından popüler bir hacking deep web Forumunda ilan edildi. DarkOwl analistleri, blackhatrussia’nın Sauron Locker da dahil olmak üzere çeşitli zararlı yazılım türlerini hack forumlarında ve kişisel web sitelerinde sık sık dağıttığını gözlemledi. Sauron Locker, 4.4 kit kat’tan Android 9.0 pie’ye kadar Android cihazlarda çalışacak şekilde tanıtıldı. blackhatrussia, zararlı yazılım için yalnızca Bitcoin, Litecoin ve Dogecoin dahil olmak üzere çeşitli kripto para birimleri aracılığıyla ödeme kabul ediyor. İlginç bir şekilde, hackerın kişisel web sitesinde, Sauron Locker, indirme işlemi sırasında kullanıcıyı enfekte edebilecek veya enfekte etmeyebilecek üç benzersiz indirme bağlantısıyla ücretsiz olarak kullanılabilir gibi görünüyor.

Kasım 2020’de DarkOwl, cold_killer kullanıcısı tarafından en saygın darknet forumlarından birinde başka bir Sauron Locker özel iş parçacığını da ortaya çıkardı. Ransomware programının kaynak kodunu doğrudan sağlamak yerine, Cold_Killer, sadece Sauron Locker’ı kullanmak için kripto para biriminde $60 USD talep etti. İndirme bağlantıları, muhtemelen şifre korumalı olan iş parçacığına dahil ediliyor ve ödeme yapıldıktan sonra kimlik bilgileri teslim ediliyor.

Bitcoin hırsızları ile olan bu ilişki, Sauron Locker’ın, mağdurun Cihazının kaynaklarını, verilerini ve bant genişliğini kolayca tüketen bir kripto para birimi madencisinin yanında kurulu olduğu bazı araştırmacıların gözlemlerinin kökenini açıklayabilir.

XERXES Android BOTNET

Şubat ayı başlarında, telegram post, @zEdHacKs olarak bilinen bir zararlı yazılım geliştiricisi tarafından reklamı yapılan Xerxes Android Botnet’e bir bağlantı içeriyordu. İlginç bir şekilde, aynı isim, 2019’da benzer bir hack odaklı Telegram grubunda paylaşılan yazılım indirme bağlantısına erişmek için bir şifre olarak kullanıldı. Bir cihaz dolabına ek olarak, bu botnet ayrıca bir SMS hırsızı, uygulama İndiricisi, kredi kartı kapmak ve bildirim göndereni de içerecek şekilde ilan edilir. DarkOwl, bu zararlı yazılımın bir kurbanın cihazına dağıtıldıktan sonra ne kadar etkili olduğunu doğrulamadı.

OXYN- Android -BOT

Oxyn-Android-Bot’un benzer şekilde, hedefin Android cihazının bankacılık ve kişisel verilerinin çalınmasına ek olarak OX-Locker fidye yazılımını içerdiği duyuruldu. Bu zararlı yazılım varyantı ayrıca, geçen yılın sonlarında yayınlanan bir Microsoft raporunda ayrıntılı olarak tartışılan ve MalLocker olarak adlandırdıkları bir fidye yazılımı türünün tehlikeleri hakkında tavsiyelerde bulunan, cihazın coğrafi konum verilerinin toplanmasını ve bildirim manipülasyonunu da içerir.

Oxyn-Android-Bot’un yaratıcısı, birçok önemli darknet topluluğunda aktiftir ve diğer zararlı yazılım geliştiricileri gibi, darknet ve deep web suç forumlarına ve Telegram kanallarına ek olarak kötü amaçlı yazılım bilgilerini dağıtmak için Github’u kullanır.

Bu kötü amaçlı yazılım için en son fiyat aralığı, satın alınan Müşteri Destek paketinin türüne bağlı olarak $1200 ila $2,000 USD idi.

COVIDLOCKER & WANNALOCKER

DarkOwl, geçen Ekim ayında bir hacker Telegram kanalında indirilmek üzere göründükten sonra, bu Android Ransomware türlerinin isimlerinden haberdar oldu.

Teklif, fidye yazılımının kaynak kodunu ve şifre çözme geçiş anahtarlarını indirmek için bağlantılar içeriyordu. Bu fidye yazılımının keşfedildiği topluluk, mali kazanç için zararlı yazılımların nasıl yazılacağını ve kullanılacağını öğrenmenin ilk aşamalarında olanlar için çeşitli “fidye yazılımı oluşturucu” koleksiyonlarının yanı sıra eğitimler ve rehberlik sunuyor.

Oxyn’in Botu gibi, DarkOwl da bu ransomware varyantlarının özelliklerinin ciddiyet derecesini veya spesifik teknik ayrıntılarını doğrulamamıştır.

Android İşletim Sistemi Saldırıları İçin Tehdit Vektörü

Kolay Teslimat Yöntemi

Android ransomware, Sauron Locker ile veya SMS mesajı ile belirtildiği gibi zararlı uygulama indirme yoluyla teslim edilebilir. 2019’da, zararlı yazılım geliştiricileri fidye yazılımlarını kötü amaçlı mesajlar aracılığıyla Reddit ve XDA Geliştiricilerindeki popüler Android geliştirici odaklı panolara teslim ettiler.

Çalışan cihazlarına karşı ağ çapında dağıtım imkansız değildir. Kullanıcılara karşı başarılı bir kimlik avı veya vishing saldırısı, hackerlara cihazın tam kontrolünü sağlayabilir. Cihazın içine girdikten sonra, ağ içindeki yanal hareket aynı anda birden fazla cihaza bulaşabilir. Kısa bir süre önce IBM, çok benzer bir strateji kullanarak bir kimlik avı saldırısı ortaya çıkardı.

“FUD” ZARARLI YAZILIM

Daha önce bahsedildiği gibi, Android işletim sistemine karşı kullanılabilen ve Android RAT’larla birlikte kullanılabilen hazır bir dizi “şifreleyici” vardır. DarkOwl analistleri, Telegram’daki kullanıcıları, 2020’de Java’da kodlanmış bir anti-virüs bypass’ı içeren bir APK şifreleyicisini paylaştılar, iddia edildiği üzere DedSec hacking ekibi tarafından (bunun bir alias korsanlığı olabileceğine dair bazı şüpheler var).

Bu zararlı yazılım varyantını “Fud” olarak tanımlarlar – bu durumda “tamamen tespit edilemez ” anlamına gelir.”

Sürekli Gelişen Tehdit

2020’nin sonunda, DarkOwl analistleri, video oyun topluluğu genelinde dolaşımda olan bir Cyberpunk 2077 ile ilgili fidye yazılımının darknet kaynakları tarafından bilgilendirildi. Popüler siberpunk oyununun ilk çıkışından kısa bir süre sonra, siber suçlular, daha sonra tüm cihaz dosyalarını şifreleyen Telegram kullanıcısı “@Codersan” tarafından geliştirilen BlackKingdom Coderware’i yükleyen Google Play mağazasını taklit eden sahte bir web sitesine “sahte” bir Cyberpunk 2077 Android uygulaması yüklediler. Utanç verici özçekimler ve dosyalar kurtarılmadan önce 500 ABD doları tutarında bir fidye notu görüntülendi.

Ocak ayının başlarında, DarkOwl bu kötü amaçlı yazılımın kaynak kodunu şu dosya adıyla tespit etti: coderware.ransomware_py, Python’da geliştirildiğini doğruladı ve popüler bir darknet korsanlığı forumunda yayınlandı. Forum kullanıcısı, kodun “çocuk fidye yazılımı komut dosyası” olduğunu belirterek eleştirdi.

Darkowl’un gözlemlediği ve tarihsel olarak bildirdiği gibi, darknet ve deep web, çok çeşitli zararlı yazılımlar, tehditler ve virüsler sunan pazar yerleri ve forumlarla geniş bir zararlı yazılım ekonomisine ev sahipliği yapıyor. Satıcılar sadece yukarıda açıklandığı gibi çeşitli RAT’lar sunmakla kalmıyor, aynı zamanda VPN hizmetleri, istismarlar, kriptolar ve fidye yazılımlarının yanı sıra tüm eğitim materyalleri ve kişiselleştirilmiş destek sunuyor: özel rehberler, öğreticiler
ve kiralık mentorlar – yeni girenleri eğitmeye hazır yeraltı siber suç endüstrisi.

Benzer haberler için buraya tıklayınız.

Kaynak: www.darkowl.com

En son haberler

İlgili haberler