Genel Bakış

Bu Android APK, sahte Erişilebilirlik Servisi kılığıyla cihaz yönetici izni ve erişilebilirlik erişimi talep eden bir bankacılık truva atıdır. Facebook (flogin) ve Google (glogin) kimlik avı overlay ekranları içermekte, cihaz yönetici hakları (adminrights.xml) talep etmektedir. Çok dilli destek (İngilizce, Japonca, Arapça) ile geniş coğrafi hedefleme yapılmaktadır.

Teknik Analiz

Sahte Erişilebilirlik Servisi

APK, kullanıcıya gerçek Android Erişilebilirlik Ayarları gibi görünen sahte bir arayüz sunar. Ekranda "Accessibility Service", "TalkBack", "Screen Readers", "Enable Accessibility To Continue" yazıları gösterilmektedir. Kullanıcı onayladığında kötü amaçlı erişilebilirlik servisi aktive edilmektedir.

Kimlik Avı Overlay'leri

  • res/layout/flogin.xml → sahte Facebook giriş ekranı
  • res/layout/glogin.xml → sahte Google giriş ekranı
  • Gerçek uygulamaların üzerine overlay koyarak kullanıcı bilgilerini çalar

Cihaz Yönetici Ayrıcalıkları

  • res/xml/adminrights.xml → cihaz yönetici iznini tanımlar
  • device_admin_label → yönetici etiket kaydı
  • Cihaz yönetici izni → kaldırma önleme, kilit ekranı kontrolü

Erişilebilirlik İzinleri

  • res/xml/accessibility.xml + res/xml-v22/accessibility.xml
  • BIND_ACCESSIBILITY_SERVICE → tüm UI elementlerine erişim, kullanıcı etkileşimlerini izleme

Gömülü HTML Kimlik Avı Sayfası

APK içinde büyük Base64 kodlu HTML sayfası bulunmaktadır. Bu sayfa sahte "Accessibility" ayarlar ekranını oluşturmakta ve:

  • Çok dilli metin (en/ja/ar)
  • "Enable Accessibility To Continue" butonu
  • Android.returnResult() — onay için native bridge çağrısı

Teknik Propriétéler

PropriétéValeur
PlatformAndroid APK
Taille704.893 bayt
TeknikSahte Accessibility Service + Device Admin
OverlayFacebook (flogin) + Google (glogin)
Dilİngilizce, Japonca, Arapça
C2Dinamik (classes.dex içinde)

IOC Özeti

  • Overlay: flogin.xml (Facebook), glogin.xml (Google)
  • Yetki: BIND_ACCESSIBILITY_SERVICE + Device Admin
  • SHA256: 87def7f445734b4b9b57b97cd4af8d22b2684dd4dd3e7ae8d07a120efa3b1814

Liste IOC (1 indicateurs)

IOC — Android Banking Trojan
# SHA256 87def7f445734b4b9b57b97cd4af8d22b2684dd4dd3e7ae8d07a120efa3b1814
TypeValeurNote
sha256 87def7f445734b4b9b57b97cd4af8d22b2684dd4dd3e7ae8d07a120efa3b1814
Tags
androidapkaccessibilitydevice-adminoverlayphishingfacebookgooglebanking-trojanbind-accessibility-service