Google, Android için Play Store’da tespit edilen, biri yaşam tarzı uygulaması gibi görünen ve Xenomorph bankacılık kötü amaçlı yazılımını dağıtırken yakalanan iki yeni kötü amaçlı dropper uygulamasını kaldırdı.
Zscaler ThreatLabz araştırmacıları Himanshu Sharma ve Viral Gandhi Perşembe günü yayınlanan bir analizde, “Xenomorph, kullanıcıların cihazlarındaki bankacılık uygulamalarından kimlik bilgilerini çalan bir truva atıdır.” Dedi.
“Ayrıca, kullanıcıların SMS mesajlarını ve bildirimlerini engelleyerek, tek seferlik şifreleri ve çok faktörlü kimlik doğrulama isteklerini çalmasını sağlıyor.”
Siber güvenlik firması, benzer davranış sergileyen bir gider takip uygulaması bulduğunu, ancak kötü amaçlı yazılımı almak için kullanılan URL’yi çıkaramadığını belirtti.
İki kötü amaçlı uygulama aşağıdaki gibidir –
- Yapılacaklar: Gün yöneticisi (com.todo.daymanager)
- Gider Koruyucu (com.setprice.expenses)
Her iki uygulama da bir damlalık işlevi görür, yani uygulamaların kendileri zararsızdır ve Todo durumunda GitHub’da barındırılan gerçek yükü almak için bir kanaldır.
İlk olarak bu Şubat ayının başlarında ThreatFabric tarafından belgelenen Xenomorph’un, kurbanın kimlik bilgilerini çalmak için yasal banka uygulamalarının üzerine sahte oturum açma ekranlarının sunulduğu üst üste bindirme saldırıları gerçekleştirmek için Android’in erişilebilirlik izinlerini kötüye kullandığı biliniyor.
Dahası, kötü amaçlı yazılım, ek komutları almak için kullanılan komut ve kontrol (C2) etki alanının kodunu çözmek ve oluşturmak için bir Telegram kanalının açıklamasından yararlanır.
Bu gelişme, Google Play’de bir reklam yazılımı ve bilgi çalma kampanyasının parçası olarak kurbanları kötü amaçlı web sitelerine yönlendirdiği tespit edilen dört hileli uygulamanın keşfini takip ediyor. Google, The Hacker News’e o zamandan beri geliştiriciyi yasakladığını söyledi.