Mart 2023'ten bu yana yeni bir mobil kötü amaçlı yazılım kampanyası, Android Bankacılık Trojan 'Anatsa'yı ABD, İngiltere, Almanya, Avusturya ve İsviçre'deki çevrimiçi bankacılık müşterilerine itiyor.
Kötü niyetli etkinliği izleyen Tehdit Fabric'teki güvenlik araştırmacılarına göre, saldırganlar kötü amaçlı yazılımlarını Play Store, Android'in resmi uygulama mağazası aracılığıyla dağıtıyor ve zaten bu yöntem aracılığıyla 30.000'den fazla kurulum var.
TehditFabric, Truva atının PDF tarayıcılarını, QR kod tarayıcılarını, Adobe Illustrator uygulamalarını ve fitness izleyici uygulamalarını taklit ederek 300.000'den fazla kez yüklendiği Kasım 2021'de Google Play'de önceki bir Anatsa kampanyası keşfetti.
Mart 2023'te, kötü amaçlı yazılım dağıtımında altı aylık bir aradan sonra, tehdit aktörleri, potansiyel kurbanları Google Play'den anatsa damlalık uygulamalarını indirmeye yönlendiren yeni bir malvertisizasyon kampanyası başlattı.
Kötü amaçlı uygulamalar, PDF görüntüleyici ve editör uygulamaları ve ofis süitleri olarak poz vererek ofis/üretkenlik kategorisine ait olmaya devam ediyor.
TehditFabric kötü amaçlı uygulamayı Google'a bildirdiğinde ve mağazadan kaldırıldığında, saldırganlar yeni bir kisvenin altına yeni bir damlalık yükleyerek hızla geri döndü.
Belirlenen kötü amaçlı yazılım damlalarının beş durumunda, uygulamalar Google Play'e temiz bir şekilde gönderildi ve daha sonra Google'ın ilk gönderimde sıkı kod inceleme sürecinden kaçınması muhtemel kötü amaçlı kodla güncellendi.
Kurbanın cihazına yüklendikten sonra, damlalık uygulamaları GitHub'da barındırılan harici bir kaynak talep ederek, Adobe Illustrator için metin tanıma eklentileri olarak maskelenen anatsa yüklerini indirirler.
Anatsa, kullanıcı meşru banka uygulamalarını başlatmaya ve ayrıca Keylogging aracılığıyla ön planda kimlik avı sayfalarını kaplayarak banka hesabı kimlik bilgileri, kredi kartı bilgileri, ödeme bilgileri vb. Gibi finansal bilgileri toplar.
Mevcut sürümünde Anatsa Trojan, dünyanın dört bir yanından yaklaşık 600 finansal bankacılık kurumunu hedeflemeyi destekliyor.
Anatsa, bankacılık uygulamasını başlatarak ve kurbanın adına işlemler gerçekleştirerek operatörleri için para çalma sürecini otomatikleştirerek çalınan bilgileri kullanır.
Tehdit Fabric, "Banka müşterilerinin düzenli olarak kullandığını hedefleyen aynı cihazdan işlemler başlatıldığından, bankacılık karşıtı sistemlerin onu tespit etmesinin çok zor olduğu bildirildi."
Çalıntı miktarlar kripto para birimine dönüştürülür ve çalınan fonların bir kısmını bir gelir payı olarak tutacak ve gerisini saldırganlara gönderecek olan hedeflenen ülkelerdeki kapsamlı bir para katır ağıdan geçer.
Anatsa gibi kötü amaçlı yazılım kampanyaları, diğer ülkelere hedeflemelerini genişlettikçe, kullanıcıların Android cihazlara yükledikleri uygulamalar konusunda ekstra uyanık olmaları gerekir.
Kullanıcılar, Google Play gibi iyi bir mağazada olsa bile, şüpheli yayıncılardan uygulamalar yüklemekten kaçınmalıdır. Her zaman incelemeleri kontrol edin ve bir rapor paterninin kötü niyetli davranışları gösterip göstermediğini görün.
Ayrıca, mümkünse, birkaç yükleme ve inceleme ile uygulamalardan kaçının ve bunun yerine web sitelerinde iyi bilinen ve yaygın olarak belirtilen uygulamalar yükleyin.
Google Play'deki birçok uygulama kötü amaçlı uygulamalarla aynı ada sahip olduğundan, TehditFabric Report'un ekini, Anatsa'yı iten paket adları ve imzaları listesi için kontrol etmeniz ve yüklüyse android cihazınızdan hemen kaldırmanız önerilir.
BleepingComputer, Google'dan Anatsa'nın operatörlerinin Play Store'daki damlalık uygulamalarına nasıl kötü amaçlı güncellemeler gönderebileceğini ve bildirilen damlalıkları hızlı bir şekilde değiştirebileceğini, ancak yayınla bir yorum mevcut olmadığını açıklamasını istedi.
GÜNCELLEME 6/27 - Bir Google sözcüsü, BleepingComputer'a aşağıdaki yorumu gönderdi:
Belirlenen bu kötü amaçlı uygulamaların tümü Google Play'den kaldırıldı ve geliştiriciler yasaklandı.
Google Play Protect, Google Play Services ile Android cihazlarda bu kötü amaçlı yazılımları içerdiği bilinen uygulamaları otomatik olarak kaldırarak kullanıcıları korur.
Google Play'den 421 milyon kez yüklü casus yazılımlı Android uygulamaları
Siber suçlu çetesi, kötü amaçlı yazılımlarla milyonlarca Android cihazını önceden enfekte ediyor
Yeni Android Fluhorse kötü amaçlı yazılım şifrelerinizi çalıyor, 2FA Kodları
Android GravityRat kötü amaçlı yazılım artık WhatsApp Yedeklerinizi çalıyor
Android Güvenlik Güncellemesi Mali GPU hatasını sıfır gün olarak sömürdü
Kaynak: Bleeping Computer