Oʻzbekistonliklarga qaratilgan Android zararli dasturlari hujumlarida dropper ilovalari, SMS oʻgʻirlash va RAT imkoniyatlari keng miqyosda birlashtirilmoqda
2
27
0
O‘zbekistonda foydalanuvchilarni nishonga olgan mobil hujumlarda "Wonderland" deb nomlangan Android SMS o‘g‘irlovchisini tarqatish uchun oddiy ilovalar sifatida niqoblangan zararli "dropper" ilovalardan foydalanilayotgani kuzatildi.
Group-IB o‘tgan hafta e'lon qilgan tahlilida shunday dedi:
"Avvallari foydalanuvchilar o‘rnatilishi bilanoq darhol zararli dastur sifatida ishlaydigan 'sof' troyan APK fayllarini qabul qilishardi. Endilikda esa tajovuzkorlar odatiy ilovalar sifatida niqoblangan dropperlarni tobora ko‘proq ishlatmoqdalar. Dropper tashqi ko‘rinishdan zararsiz bo‘lib ko‘rinadi, ammo o‘z ichida o‘rnatilgan zararli yuklamani saqlaydi va u o‘rnatilgandan so‘ng, hatto faol internet aloqasi bo‘lmasa ham, mahalliy ravishda ishga tushiriladi."
Singapurda joylashgan kiberxavfsizlik kompaniyasining ma'lumotlariga ko‘ra, Wonderland (avvalgi nomi WretchedCat) real vaqt rejimida buyruqlarni bajarish uchun ikki tomonlama buyruq va nazorat (C2) aloqasini ta'minlaydi, bu esa ixtiyoriy USSD so‘rovlarini yuborish va SMS o‘g‘irlash imkonini beradi. U o‘zini Google Play yoki videolar, fotosuratlar va to‘y taklifnomalari kabi boshqa formatdagi fayllar sifatida ko‘rsatadi.
Ushbu zararli dastur ortida turgan moliyaviy maqsadlarni ko‘zlovchi TrickyWonders guruhi amaliyotning turli jihatlarini muvofiqlashtirish uchun asosiy platforma sifatida Telegramdan foydalanadi. 2023-yil noyabr oyida aniqlangan ushbu guruh, shuningdek, asosiy shifrlangan yuklamani yashirish uchun mo‘ljallangan ikkita dropper zararli dastur oilasi bilan ham bog‘lanadi:
MidnightDat (Ilk bor 2025-yil 27-avgustda ko‘rilgan)
RoundRift (Ilk bor 2025-yil 15-oktabrda ko‘rilgan)
Wonderland asosan soxta Google Play Store veb-sahifalari, Facebookdagi reklama kampaniyalari, tanishuv ilovalaridagi soxta akkauntlar va Telegram kabi xabar almashish ilovalari orqali tarqatiladi. Hujumchilar qurbonlarning kontaktlari va chatlariga APK fayllarni yuborish uchun dark web bozorlarida sotilgan o‘zbek foydalanuvchilarining o‘g‘irlangan Telegram sessiyalaridan foydalanadilar.
Zararli dastur o‘rnatilgandan so‘ng, u SMS xabarlarga kirish huquqini qo‘lga kiritadi va bir martalik parollarni (OTP) ushlab qoladi. Guruh bundan jabrlanuvchilarning bank kartalaridan mablag‘larni o‘g‘irlashda foydalanadi. Boshqa imkoniyatlar qatoriga telefon raqamlarini olish, kontaktlar ro‘yxatini o‘g‘irlash, xavfsizlik yoki bir martalik parol (OTP) ogohlantirishlarini bostirish uchun push-bildirishnomalarni yashirish va hatto yon tomonlama harakatlanish (lateral movement) uchun zararlangan qurilmalardan SMS xabarlar yuborish kiradi.
Biroq shuni ta'kidlash joizki, ilovani chetlab o‘tib o‘rnatish (sideloading) uchun foydalanuvchilar avvalo noma'lum manbalardan o‘rnatishga ruxsat beruvchi sozlamani yoqishlari talab etiladi. Bu foydalanuvchilarga "ilovadan foydalanish uchun yangilanishni o‘rnating" degan ko‘rsatma beruvchi yangilanish ekranini ko‘rsatish orqali amalga oshiriladi.
Group-IB qo‘shimcha qildi:
"Qurbon APK faylni o‘rnatib, ruxsatlarni bergach, hujumchilar telefon raqamini egallab oladilar va ushbu raqamga ro‘yxatdan o‘tgan Telegram akkauntiga kirishga urinadilar. Agar kirish muvaffaqiyatli bo‘lsa, tarqatish jarayoni takrorlanib, takroriy infeksiya zanjirini hosil qiladi."
Wonderland O‘zbekistondagi mobil zararli dasturlarning so‘nggi evrilishini ifodalaydi. Bu evrilish keng ko‘lamli spam kampaniyalariga tayangan Ajina.Banker kabi oddiy zararli dasturlardan, o‘zini zararsiz media fayllar sifatida niqoblagan Qwizzserial kabi yanada yashirin va kodlari chalkashtirilgan turlarga o‘tishini anglatadi.
Dropper ilovalardan foydalanish strategik ahamiyatga ega, chunki bu ularni zararsiz qilib ko‘rsatish va xavfsizlik tekshiruvlarini chetlab o‘tish imkonini beradi. Bundan tashqari, dropper va SMS o‘g‘irlovchi komponentlar kuchli obfuskatsiya qilingan (kodlari chalkashtirilgan) hamda teskari muhandislik (reverse engineering) jarayonini ancha qiyinlashtiruvchi va vaqt talab qiluvchi hiylalarni o‘z ichiga oladi.
Boz ustiga, ikki tomonlama C2 aloqasidan foydalanish ushbu zararli dasturni sust SMS o‘g‘irlovchidan server tomonidan berilgan ixtiyoriy USSD so‘rovlarini bajara oladigan faol, masofadan boshqariladigan agentga aylantiradi.
"Qo‘llab-quvvatlovchi infratuzilma ham yanada dinamik va bardoshli bo‘lib qoldi," — dedi tadqiqotchilar. "Operatorlar tez o‘zgaradigan domenlarga tayanadilar, ularning har biri almashtirilishidan oldin faqat cheklangan miqdordagi 'build'lar (yig‘ilmalar) uchun ishlatiladi. Bu yondashuv monitoringni qiyinlashtiradi, qora ro‘yxatga asoslangan himoyani izdan chiqaradi va buyruq hamda nazorat kanallarining ishlash muddatini uzaytiradi."
Zararli APK nusxalari maxsus Telegram boti yordamida yaratiladi va keyinchalik o‘g‘irlangan mablag‘lardan ulush olish evaziga "ishchilar" deb ataladigan muhaddidlar toifasi tomonidan tarqatiladi. Ushbu harakatning bir qismi sifatida, har bir nusxa o‘zining C2 (buyruq va nazorat) domenlari bilan bog‘lanadi, shunda har qanday o‘chirish urinishi butun hujum infratuzilmasini ishdan chiqarmaydi.
Ushbu jinoiy tuzilma o‘z ichiga guruh egalari, dasturchilar va o‘g‘irlangan karta ma'lumotlarini tekshiruvchi "vbayver"larni (vbivers) ham oladi. Bunday iyerarxik tuzilma moliyaviy firibgarlik amaliyotining yangi yetilish darajasiga chiqqanini aks ettiradi.
Group-IB shunday dedi:
"Mintaqadagi zararli dasturlarni ishlab chiqishning yangi to‘lqini shuni yaqqol ko‘rsatadiki, Android qurilmalarini buzish usullari nafaqat murakkablashib bormoqda, balki ular tez sur'atlar bilan rivojlanmoqda. Hujumchilar o‘z vositalarini faol ravishda moslashtirmoqdalar, tarqatish, faoliyatni yashirish va zararlangan qurilmalar ustidan nazoratni saqlab qolish uchun yangi yondashuvlarni joriy etmoqdalar."
Ushbu ma'lumotlarning oshkor etilishi zararlangan qurilmalardan maxfiy ma'lumotlarni yig‘ib olishga qodir bo‘lgan Cellik, Frogblight va NexusRoute kabi yangi Android zararli dasturlarining paydo bo‘lishi bilan bir vaqtga to‘g‘ri kelmoqda.
Dark webda bir oy uchun 150 dollar yoki umrbod litsenziya uchun 900 dollar boshlang‘ich narxda reklama qilinayotgan Cellik real vaqtda ekran translyatsiyasi, klaviatura bosishlarini yozib olish (keylogging), kamera va mikrofonga masofadan kirish, ma'lumotlarni o‘chirib tashlash, yashirin veb-brauzing, bildirishnomalarni ushlab qolish va hisob ma'lumotlarini o‘g‘irlash uchun ilova oynalari ustiga soxta oyna chiqarish (app overlays) funksiyalari bilan jihozlangan.
"Ehtimol, Troyanning eng xavotirli xususiyati — bu mijozlarga zararli yuklamani Google Playdagi oddiy ilovalar ichiga joylab tarqatish imkonini beruvchi bir tugmali APK yasovchisi (builder)dir.
iVerify vakili Daniel Kelli shunday dedi: 'O‘zining boshqaruv interfeysi orqali hujumchi butun Google Play do‘koni katalogini ko‘zdan kechirishi va Cellik yuklamasi bilan birlashtirish uchun odatiy ilovalarni tanlashi mumkin. Bir tugmani bosish orqali Cellik tanlangan tabiiy ilova ichiga RATni (masofaviy boshqaruv troyani) joylashtirib, yangi zararli APK hosil qiladi.'
Kaspersky xabariga ko‘ra, Frogblight esa boshqa tomondan Turkiyadagi foydalanuvchilarni nishonga oladi. U SMS fishing xabarlari orqali foydalanuvchilarni go‘yoki ular aloqador bo‘lgan sud ishi bo‘yicha hujjatlarni ko‘rish bahonasi bilan zararli dasturni o‘rnatishga aldaydi.
WebViewlar yordamida bank hisob ma'lumotlarini o‘g‘irlashdan tashqari, ushbu zararli dastur SMS xabarlar, qo‘ng‘iroqlar tarixi, qurilmaga o‘rnatilgan ilovalar ro‘yxati va fayl tizimi haqidagi ma'lumotlarni yig��‘a oladi. Shuningdek, u kontaktlarni boshqarishi va ixtiyoriy SMS xabarlarni yuborishi mumkin.
Frogblight hali ham faol rivojlanish bosqichida ekanligi aytilmoqda, uning ortida turgan muhaddidlar esa uni 'Xizmat sifatida zararli dastur' (MaaS) modeli asosida tarqatishga zamin yaratmoqdalar. Bu xulosa C2 serverida joylashtirilgan veb-panelning aniqlanishi va faqat veb-panelga kirish kaliti bilan bir xil kalitdan foydalanadigan namunalarnigina masofadan boshqarish mumkinligiga asoslangan.
Cellik va Frogblight kabi zararli dastur oilalari Android zararli dasturlarining o‘sib borayotgan tendensiyasining bir qismidir. Bunda hatto texnik bilimi kam yoki umuman bo‘lmagan hujumchilar ham endilikda minimal kuch sarflagan holda keng ko‘lamli mobil kampaniyalarni yurita oladilar.
So‘nggi haftalarda Hindistondagi Android foydalanuvchilari ham NexusRoute deb nomlangan zararli dastur nishoniga aylandi. U Hindiston hukumati xizmatlari qiyofasiga kiruvchi fishing portallaridan foydalanib, tashrif buyuruvchilarni GitHub repozitoriylari va GitHub Pagesda joylashgan zararli APKlarga yo‘naltiradi, shu bilan birga ularning shaxsiy va moliyaviy ma'lumotlarini yig‘adi.
Soxta saytlar Android qurilmalarini to‘liq obfuskatsiya qilingan (kodi yashirilgan) masofaviy boshqaruv troyani (RAT) bilan zararlashga mo‘ljallangan. Bu RAT mobil raqamlar, transport vositasi ma'lumotlari, UPI PIN-kodlari, OTP va karta ma'lumotlarini o‘g‘irlashi mumkin. Shuningdek, u maxsus imkoniyatlar xizmatlarini (accessibility services) suiiste'mol qilish va foydalanuvchilarni uni standart bosh ekran loncheri sifatida o‘rnatishga undash orqali keng ko‘lamli ma'lumotlarni yig‘adi.
CYFIRMA shunday dedi: 'Tahdidchilar moliyaviy maqsadli zararli dasturlar va fishing hujumlarini qonuniylik niqobi ostida joylashtirish uchun davlat ramzlari, to‘lov jarayonlari va fuqarolarga xizmat ko‘rsatish portallaridan tobora ko‘proq qurol sifatida foydalanmoqdalar. Zararli dastur SMSlarni ushlab qolish, SIM-karta ma'lumotlarini yig'ish, kontaktlarni o‘g‘irlash, qo‘ng‘iroqlar tarixini olish, fayllarga kirish, skrinshot olish, mikrofonni yoqish va GPS kuzatuvini amalga oshiradi.'
O‘rnatilgan 'gymkhana.studio@gmail[.]com' elektron pochta manzilining chuqur tahlili NexusRouteni kengroq yashirin rivojlanish ekotizimi bilan bog‘ladi. Bu esa uning professional tarzda qo‘llab-quvvatlanadigan, keng ko‘lamli firibgarlik va kuzatuv infratuzilmasining bir qismi ekanligi ehtimolini oshiradi.
Kompaniya qo‘shimcha qildi: 'NexusRoute kampaniyasi fishing, zararli dastur, moliyaviy firibgarlik va kuzatuvni yagona hujum tizimiga birlashtirgan, yuqori darajada yetilgan va professional tarzda ishlab chiqilgan mobil kiberjinoyat amaliyotidir. Tub darajadagi obfuskatsiya, dinamik yuklovchilar, avtomatlashtirilgan infratuzilma va markazlashtirilgan kuzatuv nazoratidan foydalanish ushbu kampaniyani oddiy firibgarlarning imkoniyatlaridan ancha yuqori darajaga qo‘yadi.'"
