19 milyondan fazla kurulum içeren yetmiş yedi kötü niyetli Android uygulaması Google Play kullanıcılarına birden fazla kötü amaçlı yazılım ailesi sunuyordu.
Bu kötü amaçlı yazılım sızıntısı, anatsa (çay botu) bankacılık Truva ANDROID cihazlarını hedefleyen yeni bir enfeksiyon dalgası araştırırken Zscaler’ın tehdit ekibi tarafından keşfedildi.
Kötü amaçlı uygulamaların çoğu (% 66’nın üzerinde) reklam yazılımı bileşenlerini içerse de, en yaygın Android kötü amaçlı yazılım, araştırmacıların analiz edilen uygulamaların neredeyse% 25’inde karşılaştığı Joker’di.
Joker kötü amaçlı yazılım bir cihaza yüklendikten sonra, kısa mesajlar okuyabilir ve gönderebilir, ekran görüntüleri alabilir, telefon görüşmeleri yapabilir ve iletişim listeleri çalabilir, cihaz bilgilerine erişebilir ve kullanıcıları premium hizmetlere abone olabilir.
Uygulamaların daha küçük bir yüzdesi, kendisini herhangi bir şüphe yaratmayacak bir şey olarak gizleyen kötü amaçlı bir uygulama tanımlamak için kullanılan bir terim olan maskware içeriyordu.
Bu tür bir kötü amaçlı yazılım, reklamı yapılan olarak çalışan meşru bir uygulama olarak poz verebilir. Bununla birlikte, arka planda çalma kimlik bilgileri, bankacılık bilgileri veya diğer hassas veriler (konum, SMS) gibi kötü niyetli etkinlik gerçekleştirir. Siber suçlular, diğer kötü amaçlı yazılımları sunmak için mask eşyaları da kullanabilir.
Zscaler araştırmacıları ayrıca, inceleme işlemi sırasında algılamayı önlemek için kodda daha derin bir kötü amaçlı yük yükü olan meşru bir uygulama olarak gelen Harly adlı Joker kötü amaçlı yazılımının bir varyantını buldular.
Mart ayında yapılan bir raporda, insan güvenliği araştırmacıları Harly’nin oyunlar, duvar kağıtları, el fenerleri ve fotoğraf editörleri gibi popüler uygulamalarda saklanabileceğini söyledi.
Anatsa Trojan gelişmeye devam ediyor
Zscaler’a göre, Anatsa bankacılığı Truva atının en son sürümü hedefleme kapsamını daha da genişleterek bankacılık ve kripto para birimi uygulamalarının sayısını 650’den daha önce 650’ye çıkardı.
Kötü amaçlı yazılım operatörleri, Google’ın kod incelemesinden kaçınmak için yalnızca yüklemden sonra kötü niyetli anatsa yükünü indiren bir tuzak olarak ‘Belge Okuyucu – Dosya Yöneticisi’ adlı bir uygulama kullanır.
Kaynak: Zscaler
En son kampanya, geçmişte kullanılan uzaktan DEX dinamik kod yüklemesinden, yük yüklemesini yönlendirmek, JSON dosyalarından paketlemek ve daha sonra silmek için değiştirdi.
Kaçınma açısından, statik analiz, çalışma zamanı DES tabanlı dize şifre çözme ve emülasyon tespiti kırmak için kötü biçimlendirilmiş APK arşivleri kullanır. Paket adları ve karmalar da periyodik olarak değiştirilir.
Kaynak: Zscaler
Yetenek açısından, Anatsa, Android’deki erişilebilirlik izinlerini otomatik grant kendisine geniş ayrıcalıklara karşı kötüye kullanır.
Şu anda Almanya ve Güney Kore’yi kapsayan 831’den fazla uygulama için sunucusundan kimlik avı sayfalarını alırken, genel veri hırsızlığı için bir Keylogger modülü de eklendi.
Bu son Anatsa kampanyası, TreathFabric tarafından Temmuz ayında keşfedilen ve Truva atının PDF izleyicisi olarak poz veren Google Play’e gizlice 50.000’den fazla indirme sağladığı bir başka dalgayı takip ediyor.
Eski Anatsa kampanyaları, Mayıs 2024’te 70.000 enfeksiyon elde eden bir PDF ve QR kodu okuyucu saldırısı, Şubat 2024’te 150.000 indirme alan bir telefon temizleyici ve PDF saldırısı ve Mart 2023’te 30.000 kurulum elde eden başka bir PDF izleyici saldırısı içeriyor.
Google Play’de Kötü Alan Uygulama Dalgası
Kötü niyetli Anatsa uygulamalarına ek olarak, Zscaler bu kez keşfetti, çoğu adware ailesi, ardından ‘Joker’, ‘Harly’ ve çeşitli mask eşyalardı.
Zscaler araştırmacısı Himanshu Sharma, “Tehditlabz, Google Play Store’daki reklam yazılımı uygulamalarında Joker, Harly ve Bankacılık Truva atları gibi kötü amaçlı yazılımlarda keskin bir artış tespit etti.”
“Tersine, Facestealer ve Coper gibi kötü amaçlı yazılım ailelerinde göze çarpan bir düşüş oldu.”
Araçlar ve kişiselleştirme uygulamaları, bu uygulamaları yaymak için kullanılan yemlerin yarısından fazlasını açıkladı, bu nedenle bu iki kategori, eğlence, fotoğraf ve tasarımla birlikte yüksek riskli olarak ele alınmalıdır.
Toplamda, Anatsa içerenler de dahil olmak üzere 77 kötü amaçlı uygulama Google Play’den 19 milyon kez indirildi.
Zscaler, Google’ın bu kez keşfettikleri tüm kötü amaçlı uygulamaları raporlamasının ardından Play Store’dan kaldırdığını bildirdi.
Android kullanıcıları, kaldırma için kötü amaçlı uygulamaları işaretlemek için Play Protect hizmetlerinin cihazlarında etkin olduğundan emin olmalıdır.
Anatsa Truva Enfeksiyonları durumunda, potansiyel olarak tehlikeye atılmış e-bankacılık hesaplarını veya kimlik bilgilerini korumak için banka ile ayrı adımlar atılmalıdır.
Google Play’deki kötü amaçlı yazılım yükleyicilerinin riskini en aza indirmek için, yalnızca saygın yayıncılara güvenmek, en az birkaç kullanıcı incelemesini okuyun ve yalnızca uygulamanın temel işlevselliği ile doğrudan ilgili olan izinler.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.