90’dan fazla kötü amaçlı mobil uygulama 5,5 milyondan fazla kez indirildi Google Oyun Son birkaç ayda depolandı. Aşağıdakiler de dahil olmak üzere çeşitli kötü amaçlı yazılımlar yaydılar: Bankacılık Truva Atı’nı çalıştırdıaraştırmacılar buldu.
Zscaler, Zscaler’deki araştırmacılar tarafından son birkaç ayda keşfedilen uygulamaların, kötü amaçlı yazılım için tuzak görevi gördüğünü ve çeşitli PDF ve QR kod okuyucularının yanı sıra dosya yöneticileri, editörler ve çevirmenler içerdiğini ortaya çıkardı. bir blog yazısında dün yayınlandı.
Anatsa (diğer adıyla Teabot), kullanıcıları kandırıp yükü yükleme konusunda kandırmak için ilk olarak kullanıcılara zararsız görünen ikinci aşama damlalık uygulamalarını kullanan karmaşık bir Truva atıdır. Kurulduktan sonra, hassas bankacılık kimlik bilgilerini ve finansal bilgileri küresel finansal uygulamalardan sızdırmak için bir dizi kaçınma taktiği kullanıyor.
Zscaler’den Himanshu Sharma ve Gajanana Khond, gönderide “Bunu, verileri gizli bir şekilde yakalayıp toplamasına olanak tanıyan kaplama ve erişilebilirlik tekniklerini kullanarak başarıyor.” diye yazdı.
Anatsa şu anda dağıtılan en “etkili” kötü amaçlı yazılımlardan biri olmasına rağmen Google Play’de, diğerleri şunları içerir: Joker Zscaler’a göre polar yazılımlar, kimlik bilgileri çalan Facestealer ve çeşitli reklam yazılımı türleri. Onlar da gördüler Coper Truva Atı karışımda.
Ayrıca Zscaler’in analizi, mobil uygulama mağazasında kötü amaçlı yazılımları gizlemek için en yaygın kullanılan uygulamaların, arkasında Anatsa’nın gizlendiği araçlar, ardından kişiselleştirme ve fotoğrafçılık uygulamaları olduğunu gösteriyor.
Google Play Kötü Amaçlı Yazılım Algılamasından Kaçınma
650’den fazla finansal uygulamadan veri sızdırabilen Anatsa’nın arkasındaki saldırganlar daha önce çoğunlukla Android’i hedef alıyordu Avrupa’daki kullanıcılar; ancak Zscaler, kötü amaçlı yazılımın ABD ve İngiltere’deki bankacılık uygulamalarını da “aktif olarak hedeflediğini” bildirdi. Araştırmacılar, operatörlerin hedeflerini Almanya, İspanya ve Finlandiya’nın yanı sıra Güney Kore ve Singapur dahil olmak üzere daha fazla Avrupa ülkesindeki finans kurumlarına da genişlettiklerini belirtti.
Zscaler’e göre Google, kötü amaçlı uygulamaların mobil uygulama mağazasına girmesini engellemek için önemli bir çaba sarf etmiş olsa da Anatsa, bu korumaları aşabilecek bir saldırı vektörü kullanıyor. Bunu, kurulum sırasında ilk uygulamanın temizmiş gibi görünmesini sağlayan bir damlalık tekniği aracılığıyla yapar.
Araştırmacılar, “Ancak uygulama bir kez yüklendikten sonra, zararsız bir uygulama güncellemesi görünümüne bürünerek bir komuta ve kontrol (C2) sunucusundan kötü amaçlı kod veya aşamalı bir veri indirmeye devam ediyor” diye yazdı. “Bu stratejik yaklaşım, kötü amaçlı yazılımın resmi Google Play Store’a yüklenmesine ve tespit edilmekten kaçmasına olanak tanıyor.”
Anatsa Saldırı Modunda
Araştırmacılar bir dizi kötü amaçlı uygulama tespit etmiş olsa da, özellikle PDF ve QR kod okuyucu uygulamalarının kimliğine bürünen uygulamalar aracılığıyla dağıtılan iki kötü amaçlı Anatsa verisini gözlemlediler. Bu tür uygulamalar genellikle çok sayıda kurulum yapılmasını teşvik ediyor ve bunun da “kurbanların bu uygulamaların gerçek olduğuna inandırılmasına daha fazla yardımcı olduğunu” belirtiyorlar.
Anatsa, daha fazla kötü amaçlı etkinlik gerçekleştirmek için komuta ve kontrol (C2) sunucularından alınan uzak verileri kullanarak bir cihaza virüs bulaştırıyor. Kurulduktan sonra, bir sonraki aşamadaki yükü indirmek için bir damlalık uygulaması başlatır.
Araştırmacılar, Truva Atı’nın saldırı vektöründe kullanıcıların veya tehdit avcılarının tespitini zorlaştıran başka aldatıcı taktikler kullandığını belirtti. Çalıştırmadan önce, büyük ihtimalle sandbox’ları ve analiz ortamlarını tespit etmek için cihaz ortamını ve cihaz tipini kontrol eder; daha sonra üçüncü aşamayı ve son yükünü yalnızca kıyı temizse yükler.
Yüklendikten sonra Anatsa, SMS ve erişilebilirlik seçenekleri de dahil olmak üzere çeşitli izinler talep ediyor ve virüs bulaşmış cihazı kaydetmek ve kod enjeksiyonu için hedeflenen uygulamaların bir listesini almak gibi çeşitli etkinlikleri gerçekleştirmek için C2 sunucusuyla iletişim kuruyor.
Anatsa, kullanıcının finansal verilerini çalmak için bir hedef indiriyor C2’deki finansal uygulamaların listesini görüntüler ve yüklü olup olmadıklarını görmek için cihazı kontrol eder. Bilgileri C2’ye geri iletir ve C2, daha sonra kullanıcıları kimlik bilgilerini vermeleri konusunda kandırmak için yüklü uygulamalara sahte oturum açma sayfaları sağlar ve bunlar daha sonra saldırganın kontrolündeki sunucuya geri gönderilir.
Mobil Siber Tehditlere Karşı Tedbirli Olmak
Google’ın tüm çabalarına rağmen şirketin bunu sürdürmesi şu ana kadar imkansızdı. kötü amaçlı Android uygulamaları Google Play mağazasından. Zscaler araştırmacıları, siber suçluların giderek daha fazla kaçamak taktiklerle kötü amaçlı yazılımlar geliştirmeye ve üretmeye devam ettikçe, “kuruluşların sistemlerini ve hassas finansal bilgilerini korumak için proaktif güvenlik önlemleri almalarının hayati önem taşıdığını” belirtti.
Kurumsal mobil kullanıcıların risklerden kaçınmasına yardımcı olmak için kuruluşlar, kullanıcı merkezli güvenliğe odaklanan ve tüm kullanıcıların “cihazlarına veya konumlarına bakılmaksızın herhangi bir kaynağa erişmeden önce kimlik doğrulamasının yapılmasını ve yetkilendirilmesini” sağlayan “sıfır güven” mimarisini benimsemelidir. tavsiye ettiler.
Android kullanıcıları ayrıca kurumsal bir ağa bağlandıklarında mobil uygulamaları indirmeyerek veya uygun muhakeme gücünü kullanarak ve tehlikelere karşı tetikte olarak kurumsal ağları koruyabilirler. şüpheli uygulama etkinliği Güvenilir uygulama mağazalarından uygulama indirirken bile.