Google Play’deki Kötü Amaçlı Yazılım 300.000’den Fazla Kullanıcıya Bulaştı

   Aralık 2, 2022  Posted in CyberSecurityNews


Google Play'de Kötü Amaçlı Yazılım

2018’den beri aktif olan yeni bir Android tehdit kampanyası olan Schoolyard Bully Truva Atı, Zimperium zLabs tarafından bulundu. 300.000’den fazla kişi, özellikle Facebook giriş bilgilerini hedefleyen kampanyanın kurbanı oldu.

Zimperium tarafından yakın zamanda yapılan bir analiz, ağırlıklı olarak Vietnam’ı hedef alan operasyonun 71 farklı ülkedeki kurbanları enfekte ettiğini iddia ediyor.

Kurbanların Haritası

Okul Bahçesi Zorba Truva Atlarının Çalışması

Araştırmacılar, Google Play Store’dan ve diğer uygulama mağazalarından indirilen çok sayıda uygulamanın Schoolyard Bully Truva Atlarını içerdiğini söylüyor.

Zimperium zLabs, “İyi adam kılığına girerek, “Schoolyard Bully Truva Atı” olarak bilinen bu kötü amaçlı uygulamalar, kurbanlarının okuması için çok çeşitli kitaplar ve konularla meşru, eğitici uygulamalar olarak kamufle ediliyor”, Zimperium zLabs

DÖRT

Eğitim uygulamalarında kötü amaçlı kod gizlendi, Facebook oturum açma bilgilerini çalmayı ve tehdit aktörlerinin Firebase C&C sunucularına yüklemeyi başardılar.

Bu uygulamalara artık Google Play Store üzerinden erişilemese de üçüncü taraf uygulama mağazaları aracılığıyla erişilebilir.

Özellikle, araştırmacılar, şifreleri geri dönüştüren kullanıcı sayısı göz önüne alındığında, Schoolyard Bully Truva Atı’nın yıllardır aktif olmasının şaşırtıcı olmadığını söylüyor.

Okul Bahçesinde Zorba Truva Atı Tarafından Bir Kurbanın Facebook Hesabından Çalınan Ayrıntılar:

  • E-posta / Telefon Numarası
  • Şifre
  • İD
  • İsim

Kötü amaçlı yazılımın birincil amacı, oturum açma bilgileri (e-posta ve şifre), hesap kimliği, kullanıcı adı, cihaz adı, RAM ve API dahil olmak üzere Facebook hesap bilgilerini çalmaktır.

Kötü amaçlı uygulama ana sayfası
Kötü Amaçlı Uygulamalar ve Facebook Giriş İstemi

Araştırmacılar, bu truva atının Facebook oturum açma bilgilerini çalmak için Javascript enjeksiyonu kullandığını açıklıyor. Truva atı, kullanıcının telefon numarasını, e-posta adresini ve parolasını almak için, kötü amaçlı javascript enjekte edilmiş bir Web Görünümü içindeki meşru URL’yi açar ve ardından bunu yapılandırılmış Firebase C&C’ye gönderir.

JavaScript enjekte edildi

Ayrıca kötü amaçlı yazılım, antivirüs ve makine öğrenimi virüs tespitlerinin çoğundan saklanmak için yerel kitaplıkları kullanır.

Bu nedenle, cihazlarınızın trojan kötü amaçlı yazılımlarından korunduğundan emin olmak için hızlı bir risk analizi yapmanız önerilir.

Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin



Source link