Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Mobil Ödemeler Dolandırıcılığı
Artık Kaldırılan Uygulamaların 620.000 İndirilmesi Var, Tayland’daki Kurbanları Hedefliyor
Prajeet Nair (@prajeetspeaks) •
8 Mayıs 2023
Araştırmacılar, Google Play Store’dan 620.000’den fazla kez indirilen ve yasal bir uygulama gibi görünen Android kötü amaçlı yazılımını buldu. Uygulamalar 2022’den beri aktiftir ve meşru fotoğraf düzenleme uygulamaları, kamera editörleri ve akıllı telefon duvar kağıdı paketleri olarak görünür.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Araştırmacılar, o zamandan beri kaldırılan Kaspersky tarafından Fleckpe olarak adlandırılan kötü amaçlı yazılımın bulaştığı 11 meşru uygulama buldu.
İndirdikten sonra uygulama, kötü amaçlı bir damlalık aracılığıyla karmaşık bir yerel kitaplık yükler. Damlalık, virüs bulaşmış cihazın mobil kodunu bir komut ve kontrol sunucusuna gönderen uygulama varlığından bir veri yükü yürütür. Sunucu daha sonra ücretli bir abonelik sayfası gönderir; bu sayfa, Truva atı kullanıcıyı abone yapmak için görünmez bir web tarayıcısında açar.
Kaspersky’den Dmitry Kalinin’e göre, “Abonelik Truva atları, kullanıcı asla satın almayı düşünmediği hizmetler için ücretlendirildiğini anlayana kadar fark edilmez. Bu tür kötü amaçlı yazılımlar, genellikle Android uygulamaları için resmi pazara girer.”
Trojan, Tayca konuşan kullanıcıları hedef aldı. Virüslü uygulamaları inceleyenlerin çoğu Tayland’dandı.
Kaspersky’nin telemetrisi ayrıca Polonya, Malezya, Endonezya ve Singapur’daki kurbanları da belirledi.
Bu, tehdit aktörlerinin kötü amaçlı yazılım yaymak için Google Play mağazasını ilk kez kullanışı değil. Bankacılık Truva Atı SharkBot’un operatörleri daha önce Google Play mağazasını kullanmıştı. Siber güvenlik firması Fox-IT, kötü amaçlı yazılımı halihazırda devre dışı bırakılmış ve hâlihazırda on binlerce kuruluma sahip uygulamalara dağıttıklarını ortaya çıkardı (bakınız: SharkBot Truva Atı Android Dosya Yöneticisi Uygulamaları Üzerinden Yayıldı).
Bulunan başka bir bankacılık Truva Atı, 16 ülkede önde gelen finansal ve kripto değişim uygulamaları da dahil olmak üzere 400’den fazla uygulamanın görünümünü taklit etti. Güvenlik istihbarat firması Group-IB tarafından yapılan araştırma, Godfather adlı Truva Atı’nın, dolaşımda üç aylık bir duraklamanın ardından biraz değiştirilmiş WebSocket işleviyle yeniden ortaya çıktığını söyledi (bakınız: Godfather Android Bankacılık Truva Atı Taklit Yoluyla Çalıyor).
Fleckpe Nasıl Çalışır?
En son sürümde, yük bildirimleri yakalar ve “bir abonelik satın almak için gereken yerel kod ile Android bileşenleri arasında bir köprü görevi görerek web sayfalarını görüntüler.”
Kaspersky araştırmacıları, bu güncellemenin analizi karmaşık hale getirmek ve kötü amaçlı yazılımın güvenlik araçlarıyla tespit edilmesini zorlaştırmak için yapıldığını söyledi.
Kalinin, “Truva atlarının artan karmaşıklığı, pazar yerleri tarafından uygulanan birçok kötü amaçlı yazılımdan koruma denetimini başarılı bir şekilde atlamalarına ve uzun süre fark edilmeden kalmalarına olanak sağladı” dedi.