Yazılım & İşletim SistemiOrta

TrickMo Android Banker: TON Blockchain Tabanlı C2 İletişim Analizi

TrickMo bankacılık zararlısının yeni varyantı, komuta-kontrol (C2) iletişimi için TON blokzincirini kullanıyor. Bu makalede tehdit analizi ve savunma stratejileri ele alınmaktadır.

B
Bleeping Computer Tutorials
3 görüntülenme
TrickMo Android Banker: TON Blockchain Tabanlı C2 İletişim Analizi

Genel Bakış

TrickMo, özellikle Avrupa'daki Android kullanıcılarını hedef alan, bankacılık bilgilerini çalmaya odaklı gelişmiş bir zararlı yazılımdır. Yazılımın son varyantı, geleneksel C2 (Command-and-Control) sunucuları yerine The Open Network (TON) blokzinciri üzerinden gizli iletişim kurarak tespit edilmeyi zorlaştırmaktadır.

Tehdit Analizi

TrickMo, cihaz üzerindeki erişilebilirlik servislerini istismar ederek ekran kaydı alma, SMS yakalama ve iki faktörlü kimlik doğrulama (2FA) kodlarını çalma yeteneğine sahiptir. Yeni varyant, C2 talimatlarını almak için blokzinciri işlemlerini bir mesajlaşma kanalı gibi kullanarak ağ trafiği analizlerini atlatmayı hedeflemektedir.

Tespit ve İnceleme Adımları

  1. Ağ Trafiği İzleme: Cihaz üzerindeki şüpheli TON düğümleriyle (node) yapılan trafiği inceleyin.
  2. Erişilebilirlik Servisleri: Ayarlar menüsünden 'Erişilebilirlik' izinlerini kontrol edin ve şüpheli uygulamaların yetkilerini iptal edin.
  3. Statik Analiz: APK dosyasını decompile ederek AndroidManifest.xml dosyasındaki şüpheli servisleri inceleyin.
Uyarı: Zararlı yazılım, cihazın yönetici haklarını (Device Admin) ele geçirmeye çalışır. Bu durumda cihazı fabrika ayarlarına döndürmek tek kesin çözümdür.

Savunma ve Önleme Komutları

Ağ seviyesinde zararlı trafiği engellemek için kurumsal güvenlik duvarınızda aşağıdaki kısıtlamaları uygulayabilirsiniz:

# TON blokzinciri düğümlerine giden trafiği engellemek için örnek kural
iptables -A OUTPUT -d ton.org -j DROP
iptables -A OUTPUT -d ton-node.com -j DROP

Kullanıcı Güvenliği İçin İpuçları

İpucu: Uygulamaları yalnızca resmi Google Play Store üzerinden indirin ve 'Bilinmeyen Kaynaklar' seçeneğini her zaman kapalı tutun.

TrickMo, cihazın ekranını uzaktan izleyebildiği için bankacılık uygulamalarında 'ekran paylaşımı' veya 'uzaktan erişim' uyarılarına dikkat edilmelidir. Eğer cihazda şüpheli bir 'Google Play Service' güncelleme uyarısı alıyorsanız, bu TrickMo'nun bir sosyal mühendislik taktiği olabilir.

Sonuç

TON tabanlı C2 kullanımı, saldırganların anonimliklerini artırmasına olanak tanır. Kurumsal ağlarda DNS filtreleme ve EDR (Endpoint Detection and Response) çözümleri kullanarak bu tür zararlı yazılımların blokzinciri ağlarına erişimini kısıtlamak kritik öneme sahiptir.

İlgili Makaleler