Google Play'de Sahte Antivirüs Uygulamaları İle Yayılan SharkBot Truva Atı

Google News Abone Ol

Google Play'de Sahte Antivirüs Uygulamaları İle Yayılan SharkBot Truva Atı

Check Point Research (CPR) ekibindeki güvenlik analistleri kısa bir süre önce, SharkBot bankacılık Truva Atı'nı Google Play Store'dan yaymak için kullanılan antivirüs çözümleri olarak maskelenen bir dizi kötü amaçlı Android uygulaması olduğunu ortaya koydu.

Bu bankacılık truva atı, Google Play Store'da antivirüs çözümleri olarak maskelenen altı kötü amaçlı Android uygulaması kullanılarak dağıtıldı.

Google Play'de Sahte Antivirüs Uygulamaları İle Yayılan SharkBot Truva Atı

Tüm bu kötü amaçlı uygulamalar aşağıdaki geliştiricilerin hesaplarından geliyor:

  • Zbynek Adamcik
  • Adelmio Pagnotto
  • Bingo Like Inc

Tehdit aktörleri, bir bilgi hırsızı olduğu için banka bilgilerini ve giriş bilgilerini çalmak ve manipüle etmek için Sharkbot'u kullanır. Kötü amaçlı yazılım, bu ülkelerden herhangi birinden cihazlara bulaşmasını önlemek için kaçınma teknikleri ve coğrafi çit özelliklerini kullanır:

  • Çin
  • Hindistan
  • Romanya
  • Rusya
  • Ukrayna
  • Belarus

SharkBot'un Yetenekleri

Ekim 2021'de Cleafy, kötü amaçlı yazılımı fark eden ilk şirket oldu ve en güçlü özelliklerden biri, ATS (Otomatik Transfer Sistemleri) aracılığıyla para transfer etme yeteneği.

Burada tehdit aktörleri, aşağıdaki şeyleri simüle ederek bu görevi yerine getirmek için güvenliği ihlal edilmiş cihazlardan yararlanır:

  • Dokunma (Touches)
  • Tıklama (Clicks)
  • Düğmeye basma (Button presses)

Aşağıda SharkBot'un temel işlevlerinden bahsettik:

  • Enjeksiyon (Injections)
  • Ats
  • Bindirme saldırısı (Overlay attack)
  • Keylogging
  • SMS engelleme (SMS intercept)
  • Uzaktan kontrol

Haydut uygulamaların 15000'den fazla kopyasının kaldırılmadan önce yüklendiğine ve kurbanların çoğunluğunun yaşadığı düşünülmektedir:

  • İtalya
  • Birleşik Krallık

Google Play'de Sahte Antivirüs Uygulamaları İle Yayılan SharkBot Truva Atı

Ancak yapılan bildirimin ardından tüm kötü amaçlı uygulamalar Google tarafından Play Store'dan kalıcı olarak kaldırıldı.

Bunun dışında, güvenlik analistleri Sharkbot'un 27 sürümünü gözlemlediler ve SharkBot'ta tehdit aktörleri, Android kötü amaçlı yazılımlarında nadiren kullanılan başka bir gizli ve karmaşık teknik kullanıyor:

Etki Alanı Oluşturma Algoritması (DGA)

Etkilenen uygulamalar

Google Play'deki birkaç uygulama Sharkbot droppers olarak maskelenmiştir ve burada aşağıda bahsedilmiştir:

  • com.abbondioendrizzi.tools[.]supercleaner
  • com.abbondioendrizzi.antivirus[.]supercleaner
  • com.pagnotto28.sellsourcecode[.]alpha
  • com.pagnotto28.sellsourcecode[.]supercleaner
  • com.antivirus.centersecurity[.]freeforall
  • com.centersecurity.android[.]cleaner

Kullanılan Komutlar

Aşağıda SharkBot tarafından kullanılan komutlardan bahsettik:

  • smsSend
  • updateLib
  • updateSQL
  • updateConfig
  • uninstallApp
  • collectContacts
  • changeSmsAdmin
  • getDoze
  • sendInject
  • iWantA11
  • updateTimeKnock
  • sendPush
  • APP_STOP_VIEW
  • Swipe
  • autoReply
  • removeApp
  • serviceSMS
  • getNotify
  • localATS
  • sendSMS
  • downloadFile
  • stopAll

SharkBot, Android'in belirli güvenlik önlemlerini atlamasına izin veren Erişilebilirlik Hizmetleri izinlerini kullanarak sahte bankacılık uygulamalarının sahte bindirme pencerelerini size sunabilir.

SharkBot'un, antivirüs uygulamasının kurbanları çekmek için bir kimlik avı sitesini paylaşmasını sağlamak için Facebook Messenger ve WhatsApp gibi popüler uygulamalardan gelen bildirimlere otomatik yanıtlar oluşturması mümkündür.

Bu nedenle güvenlik uzmanları, kullanıcıların bilinmeyen kaynaklardan herhangi bir uygulama indirmemelerini şiddetle tavsiye etti. Sadece bu değil, aynı zamanda kullanıcıları saygın bir mağazadan herhangi bir uygulamayı indirirken uyanık ve temkinli olmaya çağırdılar.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.

Kaynak: Cyber Security News

Sonraki Gönderi Önceki Gönderi
Yorum yok
Yorum Ekle
comment url