Zscaler, 19 milyon yükleme ile Google Play’de 77 Android uygulamasını bildiriyor, 831 bankaya çarparak ve kullanıcıları sahtekarlık ve hırsızlığa maruz bırakıyor.
Zscaler’ın tehdit ekibi tarafından yapılan yeni bir soruşturma, 19 milyondan fazla kurulum olan 77 kötü amaçlı uygulamanın resmi Google Play Store aracılığıyla farklı kötü amaçlı yazılım aileleri sunduğunu açıkladı.
Araştırma, ilk olarak 2020’de tanımlanan ve daha tehlikeli ve sofistike bir tehdide dönüşen zararlı bir program olan Anatsa (TeAbot) Bankacılık Truva Anat’ın yeni bir enfeksiyon dalgasına odaklandı.
En son ANATSA varyantı, şimdi dünya çapında 831’den fazla finans kurumunu hedefleyen erişimini önemli ölçüde artırdı. Kötü amaçlı yazılım operatörleri de popüler kripto para platformlarına ek olarak Almanya ve Güney Kore gibi yeni bölgeleri de içeriyor.
Zararsız belge okuyucuları gibi görünmek için tasarlanan tuzak uygulamalarının çoğu, bireysel olarak 50.000’den fazla indirme oluşturmuş ve kampanyanın geniş erişimini göstermiştir.
Bildirildiğine göre, kötü amaçlı yazılım operatörleri, bir tuzak olarak ‘Belge Okuyucu – Dosya Yöneticisi’ adlı bir uygulama kullanıyor ve bu da Google’ın kod incelemesinden kaçınmak için yüklemeden sonra kötü amaçlı anatsa yükünü indiriyor.
Daha fazla araştırma, resmi mağazadan indirilen uygulamaların başlangıçta temiz olduğunu ve vaat edildiği gibi işlev gördüğünü ortaya koydu. Ancak, yüklendikten sonra, uygulama sessizce gerekli bir güncelleme olarak gizlenen Anatsa kötü amaçlı yazılımlarını indirir. Kullanıcıları Android’in erişilebilirlik hizmetlerini etkinleştirmesi için kandırarak kötü amaçlı yazılımlar kötü amaçlı işlemlerini otomatikleştirebilir.
Kontrolü olduğunda, kötü amaçlı yazılım finansal bilgileri çalar, bir kullanıcının cihazındaki bankacılık veya finansal uygulamaları taklit eden sahte oturum açma sayfaları görüntüleyerek tuş vuruşlarını izler ve hileli işlemleri kolaylaştırır. Bir kullanıcı giriş yapmaya çalıştığında, bilgiler doğrudan saldırganlara gönderilir.
Kötü amaçlı yazılım, kodunu okumayı zorlaştırarak ve bir test ortamında çalıştırılıp çalıştırılmadığını kontrol ederek güvenlik analizinden de kaçınabilir. Bu, Veri Şifreleme Standardı (DES) çalışma zamanı şifre çözme ve güvenlik araçlarını atlamak için emülasyon kontrollerinin yapılmasını içerir. Önemli bir kötü amaçlı dosyayı gizlemek için bozuk bir fermuar arşivi kullanır ve standart analiz araçlarının tespit edilmesini zorlaştırır.
Zscaler’ın araştırması, kötü amaçlı uygulamaların çoğunluğu adware içermesine rağmen, en sık bulunan Android kötü amaçlı yazılımlar, analiz edilen uygulamaların neredeyse dörtte birinde mevcut olduğunu buldu. Bu tür kötü amaçlı yazılımlar, kişileri ve cihaz bilgilerini çalma, ekran görüntüleri alma, arama yapma ve hatta rızası olmadan premium hizmetlere abone olmak için kısa mesajlar okuma ve gönderme yeteneği ile bilinir.
Daha küçük bir uygulama grubu, “Maskware” içeriyordu, bu da arka planda, konum ve SMS mesajları gibi kimlik bilgilerini ve kişisel verileri çalmak gibi kötü amaçlı etkinlikler yürütürken meşru bir uygulama olarak işlev gören bir kötü amaçlı yazılım içerir. Harly adı verilen bir Joker kötü amaçlı yazılım varyantı da bulundu, bu da kötü niyetli yükünün, aksi takdirde meşru görünümlü bir uygulamanın koduna derinlemesine gizlenerek inceleme işlemi sırasında algılamayı önleyen.
Bunun gibi tehditler genişlemeye ve yayılmaya devam ettikçe, kişisel gizlilik, finansal sistemler ve özel şirketler için artan bir risk oluşturmaktadır.
Araştırma, “Android kullanıcıları her zaman uygulamaların talep ettiği izinleri doğrulamalı ve uygulamanın amaçlanan işlevselliğiyle uyumlu olduklarından emin olmalıdır” diyor.
Bir Uzmanın Görüşü: Reaktif Savunmalar ve Yeni Tehditler
DeepTempo’da kurucu Mayank Kumar, “Zscaler Tehdit Labs’ın keşfi, Google Play Store gibi resmi uygulama mağazalarının güvenlik duruşunun büyük ölçüde reaktif olduğunu hatırlatıyor” dedi. Bu uygulamalar kaldırıldığında, bu durumda 19 milyon kullanıcının zaten tehlikeye atıldığını belirtti.
Kumar, saldırganların, inceleme sürecinde iyi huylu görünmek için kodlarını bir uygulamanın çekirdeğine yerleştirme gibi taktikleri kullanarak daha yaratıcı hale geldiğini açıkladı. Harly varyantını örnek olarak gösterdi ve güvenlik kontrollerini atlamak için gizleme katmanlarını kullandığını belirtti.
“Yapay zekanın ortaya çıkmasıyla, tehdit aktörlerinin App Store savunmalarının çekirdeğini oluşturan tarama ve imza tabanlı algılama sistemlerini yenmek için gereken çok aşamalı yükleri ve gelişmiş gizlemeyi tasarlamaları daha da kolaylaşacak” diye ekledi.