Güvenlik uzmanları, yasal uygulamaların kılığına girme konusundaki uzmanlığıyla öne çıkan bir bankacılık Truva Atı olan Zanubis’in son kampanyasını mercek altına aldı. Araştırma, son zamanlarda ortaya çıkan AsymCrypt şifreleme/yükleyici ve gelişen Lumma hırsızlık vakalarına odaklanarak, artan dijital güvenlik ihtiyacının altını çiziyor.
Bir Android bankacılık Truva atı olan Zanubis, Ağustos 2022’de ortaya çıktı ve Peru’daki finans ve kripto kullanıcılarını hedef aldı. Uygulama meşru Peru Android uygulamalarını taklit ederek kullanıcıları erişilebilirlik izinleri vermeleri için kandırıyor ve cihazın kontrolünü ele geçiriyordu.
Nisan 2023’te Zanubis, Peru devlet kuruluşu SUNAT’ın (Superintendencia Nacional de Aduanas y de Administración Tributaria) resmi uygulaması gibi davranarak gelişmişlik düzeyini bir ileri seviyeye çıkardı. Zanubis, Android APK dosyaları için popüler bir gizleyici olan Obfuscapk yardımıyla gizleniyor. Cihaza erişim yetkisi aldıktan sonra WebView kullanarak gerçek bir SUNAT web sitesi yüklüyor ve böylece kurbanı kandırarak meşru görünmesini sağlıyor.
Zararlı yazılım, kontrol sunucusu ile iletişim kurmak için WebSockets ve Socket.IO adlı bir kütüphane kullanıyor. Bu, sorun olsa bile duruma uyum sağlamasına ve bağlı kalmasına olanak tanıyor. Diğer kötü amaçlı yazılımların aksine, Zanubis’in sabit bir hedef uygulama listesi mevcut değil.
Bunun yerine, belirli uygulamalar çalışırken veri çalmak için uzaktan programlanabiliyor. Hatta bu zararlı yazılım ikinci bir bağlantı oluşturarak kötü niyetli kişilere yönelik cihaz üzerinde tam kontrol sağlayabiliyor. En kötü senaryoda ise Android güncellemesi gibi davranarak cihazınızı devre dışı bırakabiliyor.
Yakın zamanda yapılan bir başka keşif de kripto cüzdanlarını hedef alan ve webin karanlık forumlarında satılan AsymCrypt kriptor/yükleyicisi oldu. Araştırmanın gösterdiği üzere, bu bir TOR ağ hizmetinin “öncüsü” olarak hareket eden gelişmiş bir DoubleFinger yükleyici sürümünden oluşuyor.
Alıcılar, kötü amaçlı DLL’ler için enjeksiyon yöntemlerini, hedef süreçleri, başlangıçtaki kalıcılığı ve saplanma türlerini özelleştirerek, yükü bir görüntü sitesine yüklenen.png görüntüsü içindeki şifrelenmiş bir blobda gizliyor. Ardından yürütme süreci görüntünün şifresini çözerek bellekteki yükü etkinleştiriyor.
Lumma, eski özelliklerinin %46’sını koruyor
Siber tehditleri izlemesi, yeni gelişen bir kötü amaçlı yazılım ailesi olan Lumma stealer’ı da ortaya çıkardı. Aslen Arkei olarak bilinen ve yeniden markalanan Lumma, eski özelliklerinin %46’sını koruyor. Bir .docx’ten pdf’e dönüştürücü kılığında gizlenen yazılım, yüklenen dosyalar .pdf.exe çift uzantısıyla dönüştürüldüğünde kötü amaçlı yükü tetikliyor.
Bunun haricinde zaman içinde tüm varyantların ana işlevselliği aynı kalmış durumda. Bunlar arasında önbelleğe alınmış dosyaları, yapılandırma dosyalarını ve kripto cüzdanlarından günlükleri çalmak gibi işlevler mevcut. Saldırı bunu bir tarayıcı eklentisi olarak hareket ederek yapabiliyor, ayrıca bağımsız Binance uygulamasını da destekliyor. Lumma’nın evrimi, sistem işlem listelerini edinmeyi, iletişim URL’lerini değiştirmeyi ve şifreleme tekniklerini geliştirmeyi içeriyor.
