Bildiğimiz kadarıyla SharkBot bankacılık truva atı bir süredir Android cihazları hedefliyor. Bir trend haline gelmiş gibi görünen şey, yakın zamanda Bitdefender tarafından resmi Google Play Store’da potansiyel olarak daha ciddi saldırılara yol açabilecek agresif istenmeyen reklamları iten bir dizi kötü amaçlı uygulama bulduklarında tespit edildi.
Bu bulgu şaşırtıcı değildi, çünkü son birkaç ayda kötü amaçlı uygulamalar doğrudan resmi mağazadan dağıtılmaya başlandı ve bu da insanları güvende olduklarına inanmaya yöneltti.
Bitdefender’daki araştırma ekibi, şüpheli davranan yazılımları tespit etmek için tasarlanmış gerçek zamanlı davranışsal teknolojileri sayesinde, Google Play’den indirilen ve yüklendikten kısa bir süre sonra SharkBot bankacılık truva atı için damlalık işlevi gören uygulamaları ortaya çıkardı.
“Google Play Store, depolarına yüklenen bir truva bankacısını büyük olasılıkla algılar, bu nedenle suçlular daha gizli yöntemlere başvurur. Bunun bir yolu, bazen reklamı yapılan bazı özelliklerle yasal olan ve daha sinsi kötü amaçlı yazılımlar için damlalık işlevi gören bir uygulamadır.”
bitdefender
Bitdefender’ın bulduğu uygulamalar, harici paketleri yüklemek için kullanıcıdan kolayca izin istemelerine ve izin almalarına olanak tanıyan dosya yöneticileri olarak gizlenmişti. Gizlenmelerini artıran ve tespit edilmekten kurtulmalarına olanak sağlayan şey, kötü niyetli davranışın sınırlı bir kullanıcı havuzunda etkinleştirilmesi ve Google Play uygulamalarının başka bir uygulamayı yüklemek için yalnızca bir dosya yöneticisinin işlevselliğine ihtiyaç duymasıdır.
Tanımlanan uygulamalardan biri, kullanıcıyı kullanmadan önce uygulama için bir güncellemenin yüklenmesi gerektiğine inandırarak _File Manager etiketiyle SharkBot örneklerini yükleyen X-File Manager olarak adlandırılıyor.
Bu durumda ilginç olan, kullanıcıları bulundukları yere göre hedeflemeleri ve uygulamaları indiren kullanıcıların çoğunun ya İngiltere ya da İtalya’dan olması. Ayrıca, Google Play’deki geliştirici profili de yalnızca İtalya veya İngiltere’deki kullanıcılar tarafından görülebilir. Ülke kodu belirtilmeden sayfaya erişim sağlanamaz.
Bitdefender’ın teknik raporu, uygulamanın öykünme önleyici kontroller gerçekleştirdiğini ve SIM ISO’nun IT veya GB ile uyumlu olup olmadığını doğrulayarak Büyük Britanya ve İtalya’dan kullanıcıları hedeflediğini ortaya çıkardı. Ayrıca, hedeflenen bankacılık uygulamalarından birinin kullanıcının cihazına yüklenip yüklenmediğini de kontrol eder.
Uygulama, yazı yazıldığı sırada Google Play’den kaldırılmıştır, ancak diğer web sitelerinde mevcuttur. Bitdefender tarafından tanımlanan benzer kötü amaçlı uygulamalar arasında FileVoyager ve LiteCleaner M yer alır.
Alakalı haberler
- Android Cihazları VPN Uygulamaları Aracılığıyla Etkileyen SandStrike Casus Yazılımı
- VirusTotal, Bilgisayar Korsanları Tarafından Kötü Amaçlı Yazılım Yaymak İçin En Çok İstismar Edilen Uygulamaları Ortaya Çıkardı
- Play Store’da Bankacılık ve Kripto Cüzdanlarını Hedefleyen Yeni Dropper Uygulamaları
- Play Store’daki Sahte Antivirüs Uygulamaları SharkBot Banka Truva Atı ile Yüklendi
- Play Store’daki Kötü Amaçlı Güvenlik Uygulaması, SharkBot Kötü Amaçlı Yazılımını Bırakırken Yakalandı