Çevrimiçi banka kimlik bilgilerini çalan Android truva atlarını dağıtan kötü amaçlı yazılım kampanyaları, Google’ın Play Store’undan itilen kötü amaçlı uygulamalar aracılığıyla neredeyse 300.000 cihaza bulaştı.
Güvenliği ihlal edilmiş cihazlara teslim edilen Android bankacılık truva atları, çevrimiçi bankacılık veya kripto para uygulamalarında oturum açtıklarında kullanıcıların kimlik bilgilerini çalmaya çalışır. Kimlik bilgisi hırsızlığı genellikle meşru uygulamaların giriş ekranlarının üstünde görüntülenen sahte banka giriş formu kaplamaları kullanılarak yapılır.
Çalınan kimlik bilgileri daha sonra saldırganın sunucularına geri gönderilir ve burada diğer tehdit aktörlerine satılmak üzere toplanır veya kurbanların hesaplarından kripto para ve para çalmak için kullanılır.
Tespitten kaçmak için gelişen taktikler
ThreatFabric tarafından hazırlanan yeni bir raporda araştırmacılar, Google Play Store’da bankacılık truva atları dağıtan dört farklı kötü amaçlı yazılım damlalık kampanyası keşfettiklerini açıklıyor.
Android bankacılık truva atlarıyla Google Play Store’a sızan tehdit aktörleri yeni bir şey olmasa da, Google’ın politikalarında yapılan son değişiklikler ve artan polislik, tehdit aktörlerini tespit edilmekten kaçınmak için taktiklerini geliştirmeye zorladı.
Bu evrim, kullanıcıları uygulamayı yüklemeleri için kandırmak için fitness, kripto para birimi, QR kodları ve PDF tarama gibi ortak temalara odaklanan küçük gerçekçi görünümlü uygulamalar oluşturmayı içerir. Ardından, uygulamalara daha fazla meşruiyet eklemek için tehdit aktörleri, Google tarafından yapılan yorumların geçmesine yardımcı olmak için uygulamanın temasına uygun web siteleri oluşturur.
Ayrıca, ThreatFabric bu uygulamaların Google ve antivirüs satıcıları tarafından daha fazla tespit edilmekten kaçınmak için yalnızca belirli bölgelere veya daha sonraki tarihlerde dağıtıldığını görmüştür.
“Google’ın bu polisliği, aktörleri damlalık uygulamalarının ayak izini önemli ölçüde azaltmanın yollarını bulmaya zorladı. Geliştirilmiş kötü amaçlı yazılım kodu çabalarının yanı sıra, Google Play dağıtım kampanyaları da önceki kampanyalara göre daha rafinedir.” yeni rapor.
“Örneğin, Google Play’de daha uzun bir süre boyunca dikkatlice planlanmış küçük kötü amaçlı kod güncellemeleri sunarak ve damlalık uygulamasının temasına tam olarak uyacak şekilde bir damlalık C2 arka ucuyla spor yaparak (örneğin, egzersiz odaklı bir uygulama için çalışan bir Fitness web sitesi).”
Ancak, bu “damlalık” uygulamaları yüklendikten sonra, komutları almak için tehdit aktörünün sunucusuyla sessizce iletişim kurarlar. Bankacılık truva atını dağıtmaya hazır olduğunda, tehdit aktörünün sunucusu yüklü uygulamaya Android cihazda kötü amaçlı yazılımı “düşüren” ve başlatan sahte bir “güncelleme” gerçekleştirmesini söyleyecektir.
16 uygulama 300.000 cihaza bulaşıyor
Temmuz 2021’den bu yana ThreatFabric, on altı farklı uygulama aracılığıyla ‘Alien’, ‘Hydra’, ‘Ermac’ ve ‘Anatsa’ adlı dört farklı bankacılık truva atlarını düşüren bu sahte uygulamalara sahiptir.
Bu kötü amaçlı yazılım dağıtım kampanyaları sırasında kullanıldığı bilinen “dropper” uygulamaları şunlardır:
- İki Faktörlü Kimlik Doğrulayıcı
- Koruma Koruması
- QR CreatorScanner
- Ana Tarayıcı
- QR Tarayıcı 2021
- QR Tarayıcı
- PDF Belge Tarayıcısı – PDF’ye Tara
- PDF Belge Tarayıcısı
- PDF Belge Tarayıcısı Ücretsiz
- CryptoTracker
- Spor Salonu ve Fitness Eğitmeni
Yukarıdaki damlalıklar ve ilişkili bankacılık truva atları tarafından yüklenen diğer kötü amaçlı uygulamalar şunlardır:
- Ana Tarayıcı Canlı (Uzaylı truva atı)
- Spor Salonu ve Fitness Eğitmeni (Uzaylı truva atı)
- PDF AI : METIN TANıYıCı (Anatsa truva atı)
- QR CreatorScanner (Hydra truva atı)
- QR CreatorScanner (Ermac truva atı)
Bu dört aylık kötü amaçlı etkinlik sırasında ThreatFrabric, damlalıkların 300.000 kez kurulduğunu ve bazı bireysel damlalıkların 50.000’den fazla kez kurulduğunu buldu.
Banka, para transferi uygulamaları, kripto para borsaları, kripto para cüzdanları ve posta hizmetlerinin sayısı etkileyicidir ve yaklaşık 537 çevrimiçi site ve mobil uygulama kimlik bilgisi hırsızlığı için hedeflenmiştir.
Hedeflenen kuruluşlar arasında Gmail, Chase, Citibank, HSBC, Coinbase, Kraken, Binance, KuCoin, CashApp, Zelle, TrustWallet, MetaMask ve daha fazlası yer alıyor.
Google o zamandan beri tüm bu kötü amaçlı uygulamaları Play Store’dan kaldırdı ve ayrıcaherhangi birini yüklediyseniz, android cihazınızdan kolayca kaldırın.
Yukarıdaki uygulamalardan herhangi birini yüklediyseniz, bunları android cihazınızdan hemen kaldırmalısınız.
Ayrıca, Android kötü amaçlı yazılım geliştiricileri tarafından kullanılan gelişen teknikler nedeniyle, kullanıcılar uygulamalar tarafından istenen izinlere daha fazla dikkat etmeli ve aşırı geniş görünüyorlarsa yüklemeyi engellemelidir.