Anatsa Bankacılık Truva Atı Google Play’de Artışla Yeniden Ortaya Çıkıyor


Araştırmacılar, Anatsa Bankacılık Truva Atı’nı Google Play Store’da yasal görünen PDF ve QR kod okuyucu uygulamaları altında yayma girişimlerinde önemli bir artış gözlemledi.

Siber güvenlik firması Zscaler’deki araştırmacılar, TeaBot olarak da bilinen kötü amaçlı yazılımın, kullanıcılara zararsız görünen damlalık uygulamaları kullandığını ve kullanıcıları farkında olmadan kötü amaçlı yükü yüklemeye yönlendirdiğini söyledi.

Anatsa kurulduktan sonra çeşitli küresel finansal uygulamalardan hassas bankacılık bilgilerini ve finansal bilgileri çıkarır. Bunu, verileri gizli bir şekilde ele geçirip toplamasına olanak tanıyan kaplama ve erişilebilirlik teknikleriyle gerçekleştirir.

Anatsa Bankacılık Truva Atı’nın Dağılımı ve Etkisi

Google Play mağazasında, tehdit aktörleri tarafından dağıtılan, Anatsa ile bağlantılı iki kötü amaçlı veri bulundu. Kampanya, çok sayıda kurulumun ilgisini çekmek için PDF okuyucu ve QR kod okuyucu uygulamalarının kimliğine büründü. Analiz sırasında 70.000’i aşan çok sayıda kurulum, mağdurları başvuruların meşruluğu konusunda daha da ikna etti.

Anatsa, ek kötü amaçlı faaliyetler gerçekleştirmek için Komuta ve Kontrol (C&C) sunucularından alınan uzak verileri kullanır. Damlalık uygulaması, sonraki aşama yükünün indirildiği uzak sunuculara kodlanmış bağlantılar içerir. Kötü amaçlı yazılım, saldırının bir sonraki aşamasını gerçekleştirmek için yükün yanı sıra uzak sunucudan bir yapılandırma dosyası da alır.

Anatsa Enfeksiyon Adımları

Anatsa bankacılık truva atı, bir damlalık uygulaması kullanarak ve kötü amaçlı faaliyetlerini başlatmak için bir veri yükü yürüterek çalışıyor.

Damlalık Uygulaması:

  • Sahte QR kod uygulaması DEX dosyasını indirip yükler.
  • Uygulama, yüklenen DEX dosyasından kod çağırmak için yansımayı kullanır.
  • DEX dosyasını yüklemeye yönelik yapılandırma C&C sunucusundan indirilir.

Yükün Yürütülmesi:

  • Bir sonraki aşama veriyi indirdikten sonra Anatsa, analiz ortamlarını ve kötü amaçlı yazılım sanal alanlarını tespit etmek için cihaz ortamında kontroller gerçekleştirir.
  • Başarılı doğrulamanın ardından uzak sunucudan üçüncü ve son aşama payload’ı indirir.

Kötü Amaçlı Faaliyetler:

  • Kötü amaçlı yazılım, sıkıştırılmamış ham manifest verilerini APK’ya enjekte ederek, analizi engellemek için manifest dosyasındaki sıkıştırma parametrelerini kasıtlı olarak bozar.
  • Yürütülmesinin ardından kötü amaçlı yazılım, C&C iletişimi için olanlar da dahil olmak üzere tüm kodlanmış dizelerin kodunu çözer.
  • Etkilenen cihazı kaydetmek ve kod enjeksiyonu için hedeflenen uygulamaların bir listesini almak için C&C sunucusuna bağlanır.

Veri hırsızlığı:

  • Finansal uygulamalara yönelik paket adlarının bir listesini aldıktan sonra Anatsa, cihazı bu uygulamalar için tarar.
  • Hedeflenen bir uygulama bulunursa Anatsa bunu C&C sunucusuna iletir.
  • C&C sunucusu daha sonra bankacılık işlemi için sahte bir giriş sayfası sağlar.
  • JavaScript Arayüzü (JSI) özellikli bir web görünümünde görüntülenen bu sahte giriş sayfası, kullanıcıları kandırarak bankacılık kimlik bilgilerini girmelerini sağlıyor ve bu bilgiler daha sonra C&C sunucusuna geri gönderiliyor.
Anatsa Bankacılık Truva Atı Saldırı ZinciriAnatsa Bankacılık Truva Atı Saldırı Zinciri
Anatsa Bankacılık Truva Atı Saldırı Zinciri (Kaynak: Zscaler)

Anatsa bankacılık truva atının yaygınlığı artıyor ve zararsız uygulama görünümü altında Google Play mağazasına sızıyor. Yer paylaşımı ve erişilebilirlik gibi gelişmiş teknikleri kullanarak, hassas bankacılık kimlik bilgilerini ve finansal verileri gizlice sızdırıyor. Anatsa, kötü amaçlı veriler enjekte ederek ve yanıltıcı giriş sayfaları kullanarak mobil bankacılık güvenliğine ciddi bir tehdit oluşturuyor.

Anatsa Truva Atını Durdurmak İçin En İyi Uygulamalar

Cyble’ın Araştırma ve İstihbarat Laboratuvarları, bu tür tehditlere karşı korunmak için aşağıdaki temel siber güvenlik en iyi uygulamalarını öneriyor:

  • Yazılımı Resmi Kaynaklardan Yükleyin: Yazılımı yalnızca Google Play Store veya iOS App Store gibi resmi uygulama mağazalarından indirin.
  • Saygın Güvenlik Yazılımını Kullanın: PC’ler, dizüstü bilgisayarlar ve mobil cihazlar da dahil olmak üzere cihazların saygın antivirüs ve internet güvenliği yazılımlarını kullandığından emin olun.
  • Güçlü Parolalar ve Çok Faktörlü Kimlik Doğrulama: Güçlü parolalar kullanın ve mümkün olduğunda çok faktörlü kimlik doğrulamayı etkinleştirin.
  • Bağlantılar Konusunda Dikkatli Olun: SMS veya e-posta yoluyla alınan bağlantıları açarken dikkatli olun.
  • Google Play Korumayı etkinleştirin: Android cihazlarda her zaman Google Play Korumayı etkinleştirin.
  • Uygulama İzinlerini İzleyin: Uygulamalara verilen izinlere karşı dikkatli olun.
  • Düzenli Güncellemeler: Cihazları, işletim sistemlerini ve uygulamaları güncel tutun.

Cyble araştırmacıları, kullanıcıların bu uygulamalara bağlı kalarak kötü amaçlı yazılımlara ve diğer siber tehditlere karşı sağlam bir ilk savunma hattı oluşturabileceğini söyledi.

Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber ​​Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.



Source link