Threat Fabric mobil güvenlik firması, yeni bir dropper uygulamaları dalgası keşfettiğinin resmi Google platformu Play Store’a ulaştığını bildirdi. Uygulamalar, kullanıcıların cihazlarına bankacılık truva atlarını yüklemek için sahte güncellemeler kullanır.
Bulgular Detaylar
Toplamda, Threat Fabric araştırmacıları beş dropper Android uygulaması belirledi. Bu uygulamalar toplu olarak 130.000 kurulumla övündü. Hepsi Google Play Store’da keşfedildi ve uygulamalar Vultur ve SharkBot gibi bankacılık truva atlarını dağıttı.
Bilginize, bu truva atları finansal verileri çalabilir ve cihazda dolandırıcılık yapabilir. İşte dördü hala siber uzayda dolaşan beş damlalıklı uygulamanın listesi.
- Dosya Yöneticisi Küçük, Lite – İndirme Yok
- My Finances Tracker – 1.000+ kez indirildi
- Codice Fiscale 2022 – 10.000+ kez indirildi
- Zetter Kimlik Doğrulayıcı – 10.000’den fazla kez indirildi
- Ses, Görüntü ve Videoları Kurtar – 100.000+ kez indirildi
Potansiyel Hedefler
Dropper uygulamalarının hedefinin Almanya, İngiltere, İspanya, ABD, Fransa, Avustralya, Polonya, Hollanda ve Avusturya merkezli finans kuruluşlarının yaklaşık 231 bankacılık uygulamasını ve kripto para cüzdan uygulamasını içerdiği bildiriliyor.
En son saldırı dalgası, SharkBot kötü amaçlı yazılım ve hedefler İtalya’daki banka kullanıcılarıydı. Saldırılar Ekim 2022’nin başlarında keşfedildi ve damlalık ülkenin vergi kodu olarak gizlendi.
Uygulamalar Kötü Amaçlı Yazılımları Nasıl Yükler?
Google’ın Geliştirici Programı Politikası, keyfi uygulama paketlerinin yüklenmesi yoluyla kötüye kullanımını önlemek için REQUEST_INSTALL_PACKAGES izninin kullanımını kısıtlamıştır. Bununla birlikte, dropper, uygulama listesini taklit eden sahte bir Play Store sayfası açarak bu engeli atlar ve bu da güncelleme olarak gizlenmiş kötü amaçlı yazılımların indirilmesine neden olur.
Başka bir örnekte, Threat Fabric araştırmacıları, damlalığın, Google’ın yeni politikasına göre REQUEST_INSTALL_PACKAGES iznine sahip olabilecek bir kategori olan bir dosya yöneticisi uygulaması gibi davrandığını tespit etti.
Ek olarak, uygulamayı açtıktan sonra kullanıcılardan bir güncelleme yüklemelerini isteyen ve doğrulanmamış kaynaklardan uygulama yükleme izni veren gizli bir işlevle donatılmış, reklamı yapılan özellikler sunan üç damlalık da keşfedildi.
Bu dağıtıma yol açtı Akbaba. Yeni varyantı, hareketler ve tıklamalar dahil olmak üzere kullanıcı etkileşimini ve arayüz öğelerini daha kapsamlı bir şekilde kaydedebilmesi gibi gelişmiş yeteneklerle birlikte gelir.
Dropper Uygulamaları – Ortaya Çıkan Yeni Bir Tehdit
onların içinde Blog yazısıThreat Fabric araştırmacıları, tehdit aktörlerinin dropper uygulamalarına olan güveninde ani bir artış gözlemlediklerini iddia ediyor. Aslında, bankacılık truva atlarını şüphelenmeyen kullanıcılara dağıtmak için oldukça popüler ve etkili bir yöntem haline geldi. Tehdit aktörleri, Google’ın sınırlamalarından kurtulmak ve saldırının etkinliğini artırmak için saldırı taktiklerini sürekli olarak geliştirmektedir.
“Bu evrim, yeni tanıtılan politikaları izlemeyi ve dosya yöneticisi gibi görünmeyi ve kötü amaçlı yükü web tarayıcısı aracılığıyla yandan yükleyerek sınırlamaların üstesinden gelmeyi içeriyor.”
Gibi resmi mağazalardaki damlalıklı uygulamalardaki bu artış Google Oyun mağazası Bunun nedeni, bunların kötü amaçlı yazılım içermemesidir. Kötü amaçlı kod, uygulama güvenlik açığı bulunan bir cihaza yüklendikten sonra alınır. Şüpheli faaliyetler, kırmızı bayraklar oluşturmadan arka planda çalışır.
İlgili Öyküler
- Play Store’da Kullanıcı Verilerini Çalan Sahte Kripto Uygulamaları
- Google Play Store’da Sahte Bitcoin Cüzdan Uygulamaları Bulundu
- Kötü amaçlı yazılım bulaşmış Minecraft mod paketleri Google Play Store’u vurdu
- Play Store’daki Android VPN Uygulamalarının %38’i Kötü Amaçlı Yazılımdan Etkileniyor
- DawDropper Kötü Amaçlı Yazılım, Play Store Üzerinden Android Cihazları Hedefliyor