Son zamanlarda araştırmacılar, Amazon App Store’da veri çalmak için normal bir sağlık aracı kılığına giren “BMI CalculationVsn” adlı nispeten zararsız bir uygulama keşfettiler.
Bu uygulama, ekran kaydetme, yüklü tüm uygulamaların listesini alma ve gelen SMS mesajlarını yakalama gibi kötü amaçlı eylemler gerçekleştirir.
Uygulama, kullanıcıların tek bir ekrana boy ve kilolarını girerek BMI’larını hesaplamalarına olanak tanıyan basit bir uygulama gibi görünüyor.
Kullanıcı arayüzü tipik bir sağlık sistemininkiyle tamamen tutarlı görünüyor. Ancak bu zararsız görünümün arkasında çok sayıda yasa dışı faaliyet yer alıyor.
.webp)
Kötü Amaçlı Faaliyetlere Genel Bakış
McAfee, uygulamanın ekranı kaydetmek için bir arka plan hizmeti başlattığını söylüyor. Kullanıcı “Hesapla” butonuna bastığında Android sistemi ekran kaydını başlatacak ve izin talebi görüntüleyecektir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin
Bu özellik, diğer uygulamalardaki hassas bilgileri veya hareket şifrelerini yakalayabilir. Kayıt başladığında izin isteği iletişim kutusu görünecektir.
.webp)
Yüklü tüm uygulamaların bir listesini almak için uygulama cihazı tarar. Bu veriler kullanılarak hedef kullanıcılar belirlenebilir veya daha karmaşık saldırılar planlanabilir.
.webp)
Ayrıca, cihaza alınan tüm SMS mesajları, muhtemelen hassas verilerin, doğrulama kodlarının ve tek kullanımlık şifrelerin (OTP’ler) elde edilmesi amacıyla ele geçirilir ve toplanır.
Ele geçirilen kısa mesajlar Firebase’e kaydedilecektir (depolama grubu: testmlwr-d4dd7.appspot.com).
Bu uygulamanın geliştiricisi “PT. Visionet Data Internasional”, Amazon sayfasında listeleniyor. Kötü amaçlı yazılım yazarı, bu kötü amaçlı yazılımı Amazon Appstore’da yaymak için Endonezyalı bir kurumsal BT yönetimi hizmet sağlayıcısının adlarını kullanarak müşterileri aldattı.
Geçmiş örneklerin analizi, bu kötü amaçlı uygulamanın halen test ve geliştirme aşamasında olduğunu ve henüz tamamlanmadığını gösteriyor.
Bu kötü amaçlı yazılım ilk olarak Ekim 2024’te bir ekran kayıt uygulaması olarak oluşturuldu. Ancak geliştirme sürecinin ortasında uygulamanın simgesi BMI hesaplayıcıya dönüştürüldü ve en son sürüm, SMS mesajlarını çalmasına izin veren bir veri yükü içeriyordu.
McAfee bunu Amazon’a bildirdikten sonra uygulamaya artık Amazon Appstore’dan erişilemiyor ve Amazon da uygulamanın kaldırılması için hemen yanıt veriyor.
Öneriler
Gizliliğinizi ve verilerinizi korumak için dikkatli olmanız ve güçlü güvenlik önlemleri uygulamanız önemlidir.
Zararlı uygulamaları herhangi bir zarar verme şansına sahip olmadan bulmak ve durdurmak için güvenilir bir antivirüs yazılımı kullanmanız önerilir. Bir uygulamayı yüklerken sizden istediği izinlere çok dikkat edin.
Cihaz performansının azalması, pilin hızlı tükenmesi veya veri kullanımında artış gibi arka planda çalışan kötü amaçlı etkinliklere işaret edebilecek tuhaf uygulama davranışlarına karşı dikkatli olun.
IoC
Dağıtım web sitesi:
hxxps://www.amazon.com/PT-Visionet-Data-Internasional-CalculationVsn/dp/B0DK1B7ZM5/
C2 sunucuları/Depolama paketleri:
hxxps://firebaseinstallations.googleapis.com/v1/projects/testmlwr-d4dd7
hxxps://6708c6e38e86a8d9e42ffe93.mockapi.io/
testmlwr-d4dd7.appspot.com
Örnek Hash:
8477891c4631358c9f3ab57b0e795e1dcf468d94a9c6b6621f8e94a5f91a3b6a
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin