McAfee: XLoader Android Zararlı Yazılımında Yeni Tehlikeli Bir Varyant Keşfedildi
McAfee güvenlik araştırmacıları, XLoader Android zararlı yazılımının daha tehlikeli bir varyantını keşfettiler. Bu yeni varyant, kullanıcı etkileşimi olmadan enfekte Android cihazlarda otomatik olarak başlatılabilir. Bu teknik, zararlı yazılımın kurulduğu anda kötü amaçlı faaliyetlerini gerçekleştirmesine olanak tanır.Android XLoader Otomatik Başlatma Tekniği İle Daha Tehlikeli Hale Geliyor
XLoader, aka MoqHao, en azından 2015'ten beri var olan bilinen bir Android zararlı yazılım ailesidir. Roaming Mantis tehdit aktörü grubu tarafından işletilen bu zararlı yazılım türü daha önce Fransa, Almanya, Japonya, Güney Kore, Tayvan, İngiltere ve ABD'deki Android kullanıcılarını hedef aldı. McAfee'nin Mobil Araştırma Ekibi son zamanlarda MoqHao'nun, Temmuz 2022'de tanımlanan otomatik başlatma tekniğini kullanarak yeni bir varyantını dağıtmaya başladığını keşfetti. Dağıtım yöntemi aynıdır - saldırganlar, potansiyel kurbanlara kötü amaçlı uygulamayı indirmek için kısaltılmış bir bağlantı içeren metin mesajları gönderirler.Bilinçsiz bir kullanıcı bağlantıya tıklarsa ve uygulamayı Google Chrome olarak taklit ederek yüklemeye devam ederse, hemen saldırıya uğrar. Önceki varyantların aksine, zararlı yazılımın etkin hale gelmesi için uygulamanın açılması gerekmez, yeni XLoader varyantı, kurulumdan hemen sonra otomatik olarak başlatılabilir. Bu teknik, kullanıcı etkileşimi olmadan arka planda kötü amaçlı faaliyetleri gerçekleştirmesine olanak tanır. Uygulama Google Chrome olarak taklit edildiği için algılanmaktan kaçınmaya da yardımcı olur. Kullanıcıları uygulamanın her zaman arka planda çalışmasına ve dosyalara, mesajlara ve daha fazlasına erişmesine izin vermek için kandırır. Zararlı yazılım, spam'leri önlemeye yardımcı olacağını iddia ederek kullanıcılardan kendisini varsayılan mesajlaşma uygulaması olarak ayarlamalarını ister.
Saldırganların Hedefleri ve McAfee'nin Raporu
Saldırganlar, bu pop-up mesajını İngilizce, Korece, Fransızca, Japonca, Almanca ve Hintçe olarak hazırlamışlardır. Bu, şu anda hedefledikleri bölgeler hakkında bir işarettir. İşlem tamamlandığında, zararlı yazılım, balık avı mesajlarını görüntülemek için bir bildirim kanalı oluşturur. McAfee'nin raporuna göre, "MoqHao, balık avı mesajını ve balık avı URL'sini Pinterest profillerinden alır." Zararlı yazılım geniş bir komut dizisini gerçekleştirebilir. Pinterest hilesi başarısız olursa, XLoader, kullanıcının banka hesabında bir sorun olduğunu belirten sabit balık avı mesajlarını kullanır ve kullanıcıyı derhal harekete geçmeye zorlar. Saldırgan ayrıca uzaktan geniş bir komut dizisini gerçekleştirebilir.McAfee, zararlı yazılımın komut ve kontrol (C2) sunucusundan WebSocket protokolü aracılığıyla alabileceği 20 komut rapor etti. McAfee'ye göre, Google Play Hizmetleri olan Android cihazlar, varsayılan olarak Google Play Protect'e sahip olduklarından bu zararlı yazılıma karşı korunmuşlardır. Ancak, yalnızca Google Play Store gibi bilinen kaynaklardan uygulama indirmek her zaman güvenli bir uygulamadır. Google'ın iddia ettiğine göre, gelecekteki bir Android sürümünde bu tür otomatik başlatmayı önlemenin bir yolunu bulmaya çalışıyor, muhtemelen Android 15.
