Google Play'de Sahte Antivirüs Uygulamaları İle Yayılan SharkBot Truva Atı
Check Point Research (CPR) ekibindeki güvenlik analistleri kısa bir süre önce, SharkBot bankacılık Truva Atı'nı Google Play Store'dan yaymak için kullanılan antivirüs çözümleri olarak maskelenen bir dizi kötü amaçlı Android uygulaması olduğunu ortaya koydu.
Bu bankacılık truva atı, Google Play Store'da antivirüs çözümleri olarak maskelenen altı kötü amaçlı Android uygulaması kullanılarak dağıtıldı.
Tüm bu kötü amaçlı uygulamalar aşağıdaki geliştiricilerin hesaplarından geliyor:
- Zbynek Adamcik
- Adelmio Pagnotto
- Bingo Like Inc
Tehdit aktörleri, bir bilgi hırsızı olduğu için banka bilgilerini ve giriş bilgilerini çalmak ve manipüle etmek için Sharkbot'u kullanır. Kötü amaçlı yazılım, bu ülkelerden herhangi birinden cihazlara bulaşmasını önlemek için kaçınma teknikleri ve coğrafi çit özelliklerini kullanır:
- Çin
- Hindistan
- Romanya
- Rusya
- Ukrayna
- Belarus
SharkBot'un Yetenekleri
Ekim 2021'de Cleafy, kötü amaçlı yazılımı fark eden ilk şirket oldu ve en güçlü özelliklerden biri, ATS (Otomatik Transfer Sistemleri) aracılığıyla para transfer etme yeteneği.
Burada tehdit aktörleri, aşağıdaki şeyleri simüle ederek bu görevi yerine getirmek için güvenliği ihlal edilmiş cihazlardan yararlanır:
- Dokunma (Touches)
- Tıklama (Clicks)
- Düğmeye basma (Button presses)
Aşağıda SharkBot'un temel işlevlerinden bahsettik:
- Enjeksiyon (Injections)
- Ats
- Bindirme saldırısı (Overlay attack)
- Keylogging
- SMS engelleme (SMS intercept)
- Uzaktan kontrol
Haydut uygulamaların 15000'den fazla kopyasının kaldırılmadan önce yüklendiğine ve kurbanların çoğunluğunun yaşadığı düşünülmektedir:
- İtalya
- Birleşik Krallık
Ancak yapılan bildirimin ardından tüm kötü amaçlı uygulamalar Google tarafından Play Store'dan kalıcı olarak kaldırıldı.
Bunun dışında, güvenlik analistleri Sharkbot'un 27 sürümünü gözlemlediler ve SharkBot'ta tehdit aktörleri, Android kötü amaçlı yazılımlarında nadiren kullanılan başka bir gizli ve karmaşık teknik kullanıyor:
Etki Alanı Oluşturma Algoritması (DGA)
Etkilenen uygulamalar
Google Play'deki birkaç uygulama Sharkbot droppers olarak maskelenmiştir ve burada aşağıda bahsedilmiştir:
- com.abbondioendrizzi.tools[.]supercleaner
- com.abbondioendrizzi.antivirus[.]supercleaner
- com.pagnotto28.sellsourcecode[.]alpha
- com.pagnotto28.sellsourcecode[.]supercleaner
- com.antivirus.centersecurity[.]freeforall
- com.centersecurity.android[.]cleaner
Kullanılan Komutlar
Aşağıda SharkBot tarafından kullanılan komutlardan bahsettik:
- smsSend
- updateLib
- updateSQL
- updateConfig
- uninstallApp
- collectContacts
- changeSmsAdmin
- getDoze
- sendInject
- iWantA11
- updateTimeKnock
- sendPush
- APP_STOP_VIEW
- Swipe
- autoReply
- removeApp
- serviceSMS
- getNotify
- localATS
- sendSMS
- downloadFile
- stopAll
SharkBot, Android'in belirli güvenlik önlemlerini atlamasına izin veren Erişilebilirlik Hizmetleri izinlerini kullanarak sahte bankacılık uygulamalarının sahte bindirme pencerelerini size sunabilir.
SharkBot'un, antivirüs uygulamasının kurbanları çekmek için bir kimlik avı sitesini paylaşmasını sağlamak için Facebook Messenger ve WhatsApp gibi popüler uygulamalardan gelen bildirimlere otomatik yanıtlar oluşturması mümkündür.
Bu nedenle güvenlik uzmanları, kullanıcıların bilinmeyen kaynaklardan herhangi bir uygulama indirmemelerini şiddetle tavsiye etti. Sadece bu değil, aynı zamanda kullanıcıları saygın bir mağazadan herhangi bir uygulamayı indirirken uyanık ve temkinli olmaya çağırdılar.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News