ThiefBot Banking Trojan virüsünün aktiviteleri yakın zamanda Türkiye’deki android kullanıcılarını hedef aldığı tespit edilmiştir. Aşağıda tespit edilen zararlı apk dosyalarına ilişkin hash ve hostname bilgileri yer almaktadır.

Resim 1: Hacking Forum Reklamı
Teknik Analiz:
ThiefBot, SMS gönderme ve alma, depolamaya erişim, telefon kişilerini okuma, kamera erişimi ve erişilebilirlik hizmetlerini açma izinlerini isteyen ve Resim 2’de gözüktüğü üzere Google play store da yayınlanan bir uygulamadır.

Resim 2: Uygulama İzinleri
Söz konusu uygulama yüklendikten ve açıldıktan sonra, yerel dillere bağlı olarak farklı dillerde Google Play’i etkinleştirmek için ayarları açarak bir toast mesajı görüntüleyerek erişilebilirlik izni ister.
Toast: Küçük bir açılır pencere açarak yapılması istenen işlem hakkında basit bir geri bildirim sağlar.

Resim 3: Etkinleştirme Komutları
Tüm izinlerin ve ayrıcalıkların alınması sonucunda, Thiefbot zararlısı bulaştığı cihazda bir enumeration (numaralandırma/listeleme) işlemi gerçekleştirir ve C&C sunucusundan “inj.zip” isimli bir zip dosyası indirir. Buna ek olarak, numaralandırılmış/listelenmiş verilerle birlikte C&C sunucusuna bir kayıt isteği gönderir ve yanıt komutunun yürütülmesini beklediği sırada “overlay saldırılarını” gerçekleştirmek için hazırda bekler.
Overlay Attacks:
Çoğu Android bankacılık Truva atı gibi, ThiefBot da kurbanlarını bankacılık kimlik bilgilerini ve kredi kartı bilgilerini sağlamaları amacıyla Resim 4’de gözüktüğü üzere gerçeği ile aynı gözüken formlar ve mesajlar kullanmaktadır.

Resim 4: Zararlı Javascript Kod Gömülmesi
Enjekte edilen sayfa, Türkiye merkezli Papara Ödeme Hizmeti için bir oltalama sayfasına benzemektedir. Kredi kartı, kimlik bilgileri gibi verileri toplar ve POST isteği ile komuta kontrol sunucusuna aktarır.

Resim 5: Kimlik Bilgilerinin Sızdırılmasını Sağlayan Bölüm

Resim 6: Kilit Ekranı
Hedeflenen Uygulamalar:

Uzaktan Gönderilen Komutlar:
ThiefBot, saldırgan tarafından kontrol edilen C2 sunucusundan uzaktan komutlar alır. ThiefBot tarafından desteklenen komutlar şunlardır:

ThiefBot ayrıca, Send_SMS komutunu değiştirerek ve uygulamayı indirip /yüklemek için kullanıcılarla iletişim kurarak diğer SMS solucanları gibi kendini SMS yoluyla yayma gücüne de sahiptir.
C2 İletişim:
Thiefbot, numaralandırılmış verileri C2 sunucusuna gönderir ve cihazda yürütülecek komutları HTTP protokol aracılığıyla alır.
Veriler, sabit kodlu bir anahtar olan “JH4bjl5hj9fdf6d” kullanılarak AES ile şifrelenir ve ardından sunucuya gönderilmeden önce base64 kodlamasıyla ile tekrar şifrelenerek iletilir.

Resim 7: C2 İletişim
C2 sunucusundan alınan komutlar da AES ile şifrelenir ve verileri şifrelemek için kullanılan aynı anahtarla şifre çözülür.

Resim 8: C2 sunucusundan Komutlar Alma
Virüs bulaşmış tüm cihazlar, aşağıda gösterildiği gibi bir yönetici paneli aracılığıyla saldırganlar tarafından yönetilir.


Resim 10:C2 Paneli
C2 adresleri, şifreleme anahtarı, beyaz listedeki uygulamalar gibi yapılandırma parametreleri ayrı bir sınıfta saklanır:

Resim 10:Yapılandırma Sınıfı
HASH
SHA-256: 7bf12ce87f1be65f14289fe4f9a7fe4c79b145ec8dd8b1d88ce3faf9036b1836 (VT: 25/62)
MD5: e88867956017bbe5b633811885c87018
SHA-256: 53c61f06f021020b0d83de724968975ea2a79d4d62b608868addc4edd47b0a37 (VT: 15/60)
MD5: fe99a89267f61207198bfe022234096e
SHA-256: 83025d0d3fbb111931950c36f7de5fe916ddc2b30b75c1a3962372c8308a9044 (VT: 25/62)
MD5: 1ad3b30d7c94c10730c43837349367a5
SHA-256: bd304f13b12701d7aeabc5e1310c19250ad5cf542a63d4ceb77d566a2e377a09 (VT: 24/64)
MD5: fb4b55f698dab5bbf71961295ee13565
SHA-256: 7ccd22a35efd332504aef9984b70cd9795e44d1f7cfa19271c060fba249ff817 (VT: 25/62)
MD5: 3dd87a8ad738953c07413dfb57f45e92
SHA-256: da71a9b436e0491cecda35999169e5221fd2163199482e152b5d3e5d00cd68c3 (VT: 25/63)
MD5: f2fa90ae9c9ead0122944a53c77453f1
SHA-256: 63ffe3ca82fd3abf13dbccb58b8b5bdd7214ed3a58f9e974476d1c7fbf785310 (VT: 26/63)
MD5: 70fe34f6118222532ba2c2543282e160
SHA-256: 230fecbe4a0989edc1853664cd2f0eec6e9e9bd7f422bf1f51923532d811ac15 (VT: 35/64)
MD5: f54c28924ff071bd5dad92204c039f97
SHA-256: 05e2dd7d0165024db4e928c0b801680091a668c68b7e51f1a2736aaf570d9ff5 (VT: 28/64)
MD5: 97a0313a8484791faddeed19e6625107
SHA-256: d7015a26535ae35ec43e199fa5fe1617e4309e828846a873efa169c221f2de7a (VT: 15/59)
MD5: b6f6ca8bf653ba60bf3759cb6936f14a
SHA-256: 66d7a8063966100c30f159f2be542aaa357b647f0668dd9a5526a82325f20dc5 (VT: 22/62)
MD5: ae477a5d1a41794c8d68adfe958bed7a
Hostname
botnetandroidtools[.]000webhostapp[.]com (VT: 3/83)
ravangame[.]beget[.]tech (VT: 1/82)
sinia24[.]000webhostapp[.]com (VT: 4/84)
APK
khjjhkghkg.yulyuuyklyuky
Kaynak 2 :https://encyclopedia.kaspersky.com/glossary/overlay-attack/