Kaldırılmadan önce Google Play Store’da 220.000’den fazla indirme biriktiren kötü amaçlı bir dosya yöneticisi uygulamasından yararlanan sofistike bir Android Bankacılık Truva Kampanyası.
Anatsa (TeAbot olarak da bilinir) olarak adlandırılan kötü amaçlı yazılım, çok aşamalı bir enfeksiyon süreci ile küresel finans kurumlarını hedeflemektedir. Kimlik bilgilerini çalmak ve yetkisiz işlemler yürütmek için sahte giriş kaplamalarını ve erişilebilirlik hizmetlerini kötüye kullanır.
Anatsa’nın Saldırı Zinciri
“Dosya Yöneticisi ve Belge Okuyucusu” olarak gizlenmiş olan kötü amaçlı uygulama olan X’de paylaşılan Zscaler tehdidi Post’a göre, uzak sunuculardan ek yükleri alan ve yükleyen bir damlalık, görünüşte iyi huylu bir uygulama olarak işlev gördü.
Uygulama, kullanıcıları yüklemeden sonra gerekli bir eklenti olarak maskelenen hileli bir “güncelleme” indirmeye teşvik etti. GitHub depolarında barındırılan bu güncelleme, Anatsa Bankacılık Truva atını içeriyordu.
Anatsa, sadece çalışma zamanında yükleri şifreleyerek statik analiz araçlarından kaçan kötü amaçlı Dalvik Yürütülebilir (DEX) dosyalarını dinamik olarak yüklemek için yansıma tabanlı kod yürütme kullanır.
Kötü amaçlı yazılım, kum havuzlu ortamları algılamak için emülasyon karşıtı kontroller gerçekleştirir ve gerçek bir cihazı onaylayana kadar kötü amaçlı etkinlikleri geciktirir. Etkin olduktan sonra, aşağıdakileri içeren kritik izinler ister:
- Erişilebilirlik Hizmetleri: Tuş vuruşlarını kaydetmek, SMS mesajlarını kesmek ve ekran içeriğini manipüle etmek için.
- SMS Erişim: İki faktörlü kimlik doğrulama (2FA) mekanizmalarını atlamak
Truva daha sonra komut ve kontrol (C2) sunucuları ile iletişim kurar, cihaz meta verilerini iletir ve hedeflenen bankacılık uygulama profilleri alır.
Tespit edilen her finansal uygulama için (örn. PayPal, HSBC, Santander) Anatsa, doğrudan şüphesiz kullanıcılardan kimlik bilgilerini yakalayan sahte bir giriş kaplamasını enjekte eder.
Anatsa’nın en son kampanyası, altyapısı ABD, Güney Kore ve Singapur’a genişlemeyi desteklese de, öncelikle Avrupa’daki Slovakya, Slovenya ve Çeka da dahil olmak üzere kullanıcıları hedef aldı.
Kötü amaçlı yazılım listesi, 600’den fazla bankacılık ve kripto para birimi uygulamasını kapsar ve tehdit aktörlerinin otomatik işlem sistemleri (ATS) aracılığıyla yetkisiz transferler başlatarak cihazda sahtekarlık (ODF) yapmalarını sağlar.
Hafifletme
Riskleri azaltmak için kullanıcılar şunları yapmalıdır:
- Sideloading’den kaçının: Aygıt ayarlarında “Bilinmeyen Kaynaklardan Yükle” yi devre dışı bırakın.
- Denetim Uygulaması İzinleri: Sağlamsız uygulamalar için erişilebilirliği ve SMS erişimi iptal edin.
- Güncellemeler için Monitör: Meşru uygulamalar üçüncü taraf bağlantıları değil, resmi mağazalar aracılığıyla güncellenir.
Anatsa kampanyası, özellikle gecikmiş yük saldırıları ile ilgili olarak App Store güvenliğinde kalıcı boşlukların altını çiziyor.
Google tanımlanan damlalıkları kaldırmış olsa da, benzer tehditler yaygın olarak kalır, genellikle dosya yöneticilerini ve yardımcı uygulamaları şüphe etmek için kullanır.
Son kullanıcılar için, temel güvenlik hijyenine uyanıklık ve bağlılık gelişen mobil tehditlere karşı kritik savunmalar olmaya devam etmektedir.
Uzlaşma Göstergeleri (IOCS):
Ağ:
hxxps://docsresearchgroup[.]com
http://37.235.54[.]59/
http://91.215.85[.]55:85
Örnek MD5’ler:
a4973b21e77726a88aca1b57af70cc0a
ed8ea4dc43da437f81bef8d5dc688bdb
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free