Ortaya çıkan bir Android bankacılık truva atı adı verildi Zanubiler artık şüphelenmeyen kullanıcıları kötü amaçlı yazılımı yüklemeleri için kandırmaya yönelik bir Peru hükümeti uygulaması kılığına giriyor.
Kaspersky geçen hafta yayınlanan bir analizde, “Zanubis’in ana bulaşma yolu, meşru Peru Android uygulamalarını taklit etmek ve ardından cihazın tam kontrolünü ele geçirmek için kullanıcıyı Erişilebilirlik izinlerini etkinleştirmesi için kandırmaktır” dedi.
İlk olarak Ağustos 2022’de belgelenen Zanubis, Latin Amerika (LATAM) bölgesini hedef alan Android bankacılığa yönelik kötü amaçlı yazılımların uzun listesine eklenen en son öğedir. Hedefler arasında Peru’daki 40’tan fazla banka ve finansal kuruluş yer alıyor.
Kimlik bilgilerini çalmak amacıyla hedeflenen uygulamaların üzerinde sahte ekranlar görüntülemek için virüs bulaşmış cihazdaki erişilebilirlik izinlerini kötüye kullandığı biliniyor. aynı zamanda kişi verilerini, yüklü uygulamaların listesini ve sistem meta verilerini toplama yeteneğine de sahiptir.
Kaspersky, Nisan 2023’te, Ulusal Gümrük ve Vergi İdaresi Müfettişliği (SUNAT) adlı Peru gümrük ve vergi kurumu kisvesi altında faaliyet gösteren son Zanubis örneklerini vahşi doğada gözlemlediğini söyledi.
Uygulamayı yüklemek ve erişilebilirlik izinlerini vermek, uygulamanın arka planda çalışmasına ve Android’in Web Görünümü’nü kullanarak orijinal SUNAT web sitesini yüklemesine olanak tanıyarak bir meşruiyet maskesi oluşturur. WebSockets üzerinden sonraki aşama komutlarını almak için aktör kontrollü bir sunucuya olan bağlantıları korur.
İzinler, cihazda açılan uygulamaları takip etmek ve bunları hedeflenen uygulamalar listesiyle karşılaştırmak için daha da güçlendirilir. Listedeki bir uygulamanın başlatılması durumunda Zanubis, hassas verileri aktarmak için tuş vuruşlarını günlüğe kaydetmeye veya ekranı kaydetmeye devam ediyor.
Zanubis’i farklı kılan ve onu daha güçlü kılan şey, bir Android işletim sistemi güncellemesi gibi davranarak cihazı etkili bir şekilde kullanılamaz hale getirme yeteneğidir.
Kaspersky, “‘Güncelleme’ çalışırken, kötü amaçlı yazılımın bu girişimleri izlemesi ve engellemesi nedeniyle telefon kilitlenemeyecek veya kilidi açılamayacak kadar kullanılamaz durumda kalıyor.” dedi.
Bu gelişme, AT&T Alien Labs’ın, komut ve kontrolün yanı sıra kullanıcı girişini ve ekran içeriğini yakalayabilen MMRat adlı başka bir Android tabanlı uzaktan erişim trojanını (RAT) ayrıntılı olarak açıklamasıyla birlikte geliyor.
Şirket, “RAT’lar, keşif ve veri sızmasından uzun vadeli kalıcılığa kadar birçok yetenekleri nedeniyle bilgisayar korsanlarının kullanması için popüler bir seçimdir” dedi.