Anatsa Bankacılık Truva atı, Google Play'de barındırılan kötü amaçlı yazılım damlalarıyla Android cihazlarını bulaşarak Avrupa'daki kullanıcıları hedefliyor.
Son dört ay boyunca, güvenlik araştırmacıları İngiltere, Almanya, İspanya, Slovakya, Slovenya ve Çek Cumhuriyeti'ndeki kullanıcılara kötü amaçlı yazılım sunmak için tasarlanmış beş kampanya fark ettiler.
Dolandırıcılık tespit şirketi Tehdit Fabric'teki araştırmacılar, Kasım ayından bu yana en az 150.000 enfeksiyonla Anatsa aktivitesinin arttığını fark ettiler.
Her saldırı dalgası belirli coğrafi bölgelere odaklanır ve Google Play'de “en yeni ücretsiz” kategorilere ulaşmak için hazırlanmış damlalık uygulamaları kullanır, bu da onlara güvenilirlik kazandırır ve başarı oranını artırır.
TehditFabric'in raporu, damlalık uygulamalarının artık çok aşamalı bir enfeksiyon süreci uyguladığını ve Android 13'e kadar mobil işletim sistemi sürümlerinde bulunan güvenlik önlemlerini atlamak için Android’in erişilebilirlik hizmetini kötüye kullanmak için geliştiğini belirtiyor.
Geçen yaz, TehditFabric, google Play'de barındırılan damlalık uygulamalarını da kullanan başka bir Avrupa odaklı Anatsa kampanyası, öncelikle sahte PDF görüntüleyici uygulamaları konusunda uyardı.
En son ANATSA kampanyasında, kötü amaçlı yazılım operatörleri, gereksiz dosyaları silerek cihazda yer açmayı vaat eden hem PDF hem de sahte temizleyici uygulamalar kullanır.
TehditFabric'in araştırmacılarının vurguladığı bir örnek, 10.000'den fazla indirme sayılan 'Telefon Temizleyici - Dosya Gezgini' adlı bir uygulamadır.
TehditFabric, BleepingComputer'a bir Anatsa kampanyasının, 100.000'den fazla indirme kaydeden 'PDF Reader: Dosya Yöneticisi' adlı başka bir uygulama kullandığını söyledi.
Yazma sırasında Google, mevcut olmaya devam eden PDF okuyucu hariç resmi Android mağazasından tüm anatsa damlalık uygulamalarını kaldırdı.
Tehdit Fabrik Araştırmacılar bize Google Play'deki Anatsa Droppers için 150.000 indirme sayısının muhafazakar olduğunu ve gerçek rakamın 200.000'e daha yakın olacağını, çünkü taksit için daha düşük tahminleri kullandılar.
Beş kötü amaçlı uygulama:
Anatsa'nın sürekli yeni saldırı dalgalarını yeni damlacık uygulamaları kullanarak başlattığı göz önüne alındığında, toplam indirme sayısının daha da artması bekleniyor. Zaten, Anatsa'nın 2023'ün ilk yarısında elde ettiği 130.000'i aştı.
TehditFabric’in raporundan teknik bilgiler, damlalık uygulamalarının bir komut ve kontrol (C2) sunucusundan dinamik olarak kötü niyetli bileşenleri indirerek algılamayı önlemek için çok aşamalı bir yaklaşım kullandığını ortaya koyuyor.
Dikkate değer bir strateji, tarihsel olarak kullanıcı etkileşimi olmadan yük yüklemesini otomatikleştirmesi için bir vektör olan erişilebilirlik hizmetinin kötüye kullanılmasını içerir.
Kötü amaçlı yazılım Engelli kullanıcılara yardımcı olmak için oluşturulan bu güçlü Android hizmetini kötüye kullanma, Google’ın kötüye kullanımla mücadele için kısıtlamalar getiren son politika güncellemelerine rağmen sık sık gerçekleşir.
Anatsa Droppers'ın erişilebilirlik hizmetine erişme izni, daha temiz bir uygulama bağlamında meşru bir özellik olarak görünen “Hibernate pil drenaj uygulamaları” ihtiyacı ile gizlendi.
Bir durumda, kötü amaçlı kod güncellemesinin, Droper uygulamasının Google Play'e yüklenmesinden bir hafta sonra tanıtıldığı ve Samsung cihazlarının (bir UI) eşleşen kullanıcı arayüzü navigasyon parametrelerini ekledikten bir hafta sonra tanıtıldığı tespit kumaş.
Aynı kampanyada kullanılan diğer damlalar, satıcıya özgü kod içermez, böylece daha geniş bir Android cihaz seçimi hedefler.
Kötü amaçlı kod güncellemesi, C2'den dört farklı adımda indirilir, muhtemelen algılamadan kaçınma ve Google’ın kod inceleme mekanizmalarıyla işaretleme taktiği.
Anatsa kampanyasının yayılması önemlidir ve finansal sahtekarlık riski ile birlikte gelir. Android kullanıcılarının bir uygulama yüklemeden önce kullanıcı derecelendirmelerini ve yayıncı geçmişini dikkatle incelemeleri önerilir.
Korumaya devam etmenin iyi bir yolu, yerleşik bir üne sahip satıcılardan gelmeyen performansı artırma, üretkenlik ve güvenli mesajlaşma uygulamalarından kaçınmaktır.
Yeni uygulamalar yüklerken, istenen izinlerin listesini kontrol etmeniz ve uygulamanın amacıyla ilgisiz olanları reddetmeniz şiddetle tavsiye edilir (örneğin, bir fotoğraf düzenleme uygulaması mikrofona erişim gerekmez).
Yeni uygulamalar yüklerken, istenen izinleri, özellikle de potansiyel kötü amaçlı yazılım tehditleri için kırmızı bir bayrak olarak görülmesi gereken erişilebilirlik hizmeti ile ilgili olanları dikkatle inceleyin.
GÜNCELLEME 2/19 - Bir Google sözcüsü, BleepingComputer'a aşağıdaki yorumu gönderdi:
Raporda tanımlanan tüm uygulamalar Google Play'den kaldırıldı.
Android kullanıcıları, Google Play Services ile Android cihazlarda varsayılan olarak açık olan Google Play Protect tarafından bu kötü amaçlı yazılımların bilinen sürümlerine otomatik olarak korunur.
Google Play Protect, bu uygulamalar oyun dışındaki kaynaklardan gelse bile, kötü niyetli davranışlar sergilediği bilinen kullanıcıları veya blokları engelleyebilir.
Yeni 'Gold Pickaxe' Android, iOS kötü amaçlı yazılım sahtekarlık için yüzünüzü çalıyor
Android Xloader kötü amaçlı yazılım artık kurulumdan sonra otomatik olarak yürütebilir
Google Play'e 330K kez yüklü yeni Xamalicious Android kötü amaçlı yazılım
Google Testleri Yandan yüklü Android uygulamalarını riskli izinlerle engelleyen
Google, casus yazılım satıcılarının çoğu sıfır günün arkasında olduğunu söylüyor
Kaynak: Bleeping Computer