Kötü amaçlı yazılım ve reklam yazılımı dağıtmak için Google Play aracılığıyla 90’dan fazla kötü amaçlı Android uygulamasının 5,5 milyondan fazla kez yüklendiği tespit edildi ve Anatsa bankacılık trojanının son zamanlarda aktivitesinde bir artış görüldü.
Anatsa (diğer adıyla “Teabot”) Avrupa, ABD, İngiltere ve Asya’daki finans kuruluşlarının 650’den fazla uygulamasını hedef alan bir bankacılık truva atıdır. Sahte işlemler gerçekleştirmek için insanların e-bankacılık bilgilerini çalmaya çalışır.
Şubat 2024’te Threat Fabric, Anatsa’nın geçen yılın sonlarından bu yana üretkenlik yazılımı kategorisindeki çeşitli tuzak uygulamaları kullanarak Google Play aracılığıyla en az 150.000 enfeksiyona ulaştığını bildirdi.
Bugün Zscaler, Anatsa’nın Android’in resmi uygulama mağazasına geri döndüğünü ve artık iki sahte uygulama aracılığıyla dağıtıldığını bildirdi: ‘PDF Okuyucu ve Dosya Yöneticisi’ ve ‘QR Okuyucu ve Dosya Yöneticisi’.
Kaynak: Zscaler
Zscaler’in analizi sırasında, iki uygulama zaten 70.000 yükleme sayısına ulaşmıştı; bu da, kötü amaçlı uygulamaların Google’ın inceleme sürecindeki çatlaklardan kaçma riskinin yüksek olduğunu gösteriyor.
Anatsa damlalık uygulamalarının tespitten kaçmasına yardımcı olan şeylerden biri, dört farklı adımı içeren çok aşamalı yük yükleme mekanizmasıdır:
- Dropper uygulaması, C2 sunucusundan yapılandırmayı ve temel dizeleri alır
- Kötü amaçlı damlalık kodunu içeren DEX dosyası cihaza indirilir ve etkinleştirilir
- Anatsa verisi URL’sini içeren yapılandırma dosyası indirildi
- DEX dosyası kötü amaçlı yazılım yükünü (APK) alıp yükleyerek bulaşmayı tamamlar
Kaynak: Zscaler
DEX dosyası ayrıca kötü amaçlı yazılımın sanal alanlarda veya taklit ortamlarda çalıştırılmamasını sağlamak için analiz karşıtı kontroller de gerçekleştirir.
Anatsa yeni virüs bulaşmış cihazda çalışır duruma geldiğinde, bot yapılandırmasını ve uygulama tarama sonuçlarını yüklüyor ve ardından kurbanın konumu ve profiliyle eşleşen enjeksiyonları indiriyor.
Kaynak: Zscaler
Diğer Google Play tehditleri
Zscaler, son birkaç ay içinde Google Play’de toplu olarak 5,5 milyon kez yüklenen 90’dan fazla kötü amaçlı uygulama keşfettiğini bildirdi.
Kötü amaçlı uygulamaların çoğu, araçları, kişiselleştirme uygulamalarını, fotoğrafçılık yardımcı programlarını, üretkenliği ve sağlık ve fitness uygulamalarını taklit ediyordu.
Sahneye hakim olan beş kötü amaçlı yazılım ailesi Joker, Facestealer, Anatsa, Coper ve çeşitli reklam yazılımlarıdır.
Kaynak: Zscaler
Anatsa ve Coper, Google Play’den yapılan toplam kötü amaçlı indirmelerin yalnızca %3’ünü oluştursa da, diğerlerinden çok daha tehlikelidirler; cihaz üzerinde sahtekarlık yapma ve hassas bilgileri çalma kapasitesine sahiptirler.
Google Play’e yeni uygulamalar yüklerken istenen izinleri inceleyin ve Erişilebilirlik Hizmeti, SMS ve kişi listesi gibi yüksek riskli etkinliklerle ilişkili izinleri reddedin.
Araştırmacılar 90’dan fazla uygulamanın adını ve bunların yayından kaldırılması için Google’a bildirilip bildirilmediğini açıklamadı.
Ancak bu yazının yazıldığı sırada Zscaler tarafından keşfedilen iki Anatsa damlalık uygulaması Google Play’den kaldırılmıştı.