Dark Herring Virüsü 100 milyon Andorid’e bulaşmış durumda!

Dark Herring Virüsü

Yeni faturalandırma kötü amaçlı Yazılımı bir başka değişle eskinin oto ve normal dialer botu Dark Herring virüsü,( oto olduğunu sanmıyorum) 100 milyondan fazla Android telefona bulaştı ve yüz milyonlarca Doları şimdiden çalmayı başardı.

Bu kötü amaçlı yazılıma Dark Herring deniyor ve çalışma şekli, kişinin mobil faturasına göze çarpmayan ücretler eklemesi ve bu teknikle para kazanmasıdır. Bu kötü amaçlı yazılımla ilgili gerçekten şok edici olan şey, şimdiden dünya çapında yüz milyondan fazla veya kesin olarak 105 milyon Android cihazına bulaşmış olması ve bu, onu almayı başaran insanlardan yüz milyonlarca dolar çalmasıyla sonuçlanmış olmasıdır. ilk etapta telefonlarına.

Kötü amaçlı yazılımın bu kadar hızlı yayılmasının tek yolu Play Store’da bulunan uygulamalar olduğu ifade ediliyor. Bu kötü amaçlı yazılımı içeren yaklaşık 470 uygulama Play Store’da varlığı tespit edildi. Google, bu uygulamaların her birini kaldırmış olsa da, Virus diğer platformlarda hızla yayılmaya devam ediyor.

Ekim ayında Zimperium zLabs ekibi, topluluğa dünya çapında yaklaşık 10 milyon kurbanı tehlikeye atan devasa bir mobil premium hizmetin kötüye kullanımı (uygulamanın ücretli versiyonunda malware yani virüs bulunması) olan GriftHorse hakkında açıklama yaptı. zLabs araştırmacıları, finansal olarak motive edilmiş benzer dolandırıcılıkları tespit etme ve ortadan kaldırma arayışında, dünya çapında 105 milyondan fazla kurbanı olan ve Dark Herring adını verdiğimiz başka bir premium hizmetin kötüye kullanımı keşfettiler. Şüphelenmeyen kullanıcılardan dolandırılan toplam para miktarı bir kez daha yüz milyonlarca doları bulabilir.

Dark Herring Android Scamware nasıl çalışıyor?

Android uygulaması yüklenip başlatıldıktan sonra, bir web görünümüne ilk aşama bitiş noktası görevi gören bir URL yüklenir. URL, sabit kodlanmış bir dizeden, kaynak dizelerinden veya bir dizenin şifresi çözülerek alınabilir. İlk aşama URL’si her zaman Cloudfront’ta barındırılan bir uç noktadır. Cloudfront URL’sine gönderilen ilk GET isteği Şekil 1’de gösterilmektedir.

Dark Herring Virüs Kod Yapısı

Yanıt, AWS örneklerinde barındırılan JavaScript dosyalarının bağlantılarını içerir ve uygulama, Şekil.2’de gösterildiği gibi, bulaşma sürecine devam etmek için tüm kaynakları getirir.

Bu tür JS dosyalarından biri, “live/keylookup” API uç noktasına bir POST isteğinde bulunarak ve ardından bir son aşama URL’si oluşturarak uygulamaya cihaz için benzersiz bir tanımlayıcı alması talimatını verir.

Dark Herring Response
Şekil 3: Dark Herring Response 2 : Birinci aşama URL’sinden alınan uç noktalardan birindeki JavaScript kodu

Baseurl değişkeni, Şekil 3’te görüldüğü gibi, cihazı ve dil ve ülke ayrıntılarını tanımlamak için uygulama tarafından oluşturulan benzersiz tanımlayıcıları içeren bir POST isteği yapmak için kullanılır.

Kurbanın cihazıyla ilgili verileri içeren POST isteği.

Yukarıdaki uç noktadan gelen yanıt, kurbanın ayrıntılarına dayalı olarak uygulamanın davranışı için yapılandırmayı içerir. Yanıtta, hedeflenen ülkelerin vatandaşlarının Doğrudan Operatör Faturalandırması aboneliğine tabi olacağını belirten desteklenen ülkelerin bir listesi bulunur.

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.