Google Play'de 'Cherryblos' ve 'Faketrade' adlı iki yeni Android kötü amaçlı yazılım ailesi keşfedildi ve kripto para birimi kimlik bilgilerini ve fonlarını çalmayı veya dolandırıcılık yürütmeyi amaçladı.
Yeni kötü amaçlı yazılım suşları, hem aynı ağ altyapısını hem de sertifikaları kullanmayı gözlemleyen trend micro tarafından keşfedildi ve aynı tehdit aktörlerinin bunları yarattığını gösterdi.
Kötü niyetli uygulamalar, Android'in resmi uygulama mağazası olan Google Play'deki sosyal medya, kimlik avı siteleri ve aldatıcı alışveriş uygulamaları dahil olmak üzere çeşitli dağıtım kanallarını kullanır.
Cherryblos kötü amaçlı yazılım, Nisan 2023'te ilk kez, AI araçları veya madeni para madencileri kisvesi altında Telegram, Twitter ve YouTube'da tanıtılan bir APK (Android Paketi) dosyası şeklinde dağıtıldı.
Kötü amaçlı APK'lar için kullanılan isimler GPTALT, Happy Miner, Robot999 ve SynthNet'dir, aşağıdaki web sitelerinden eşleşen alan adlarıyla indirilir:
Kötü amaçlı bir SynthNet uygulaması da Google Play Store'a yüklendi ve burada rapor edilmeden ve kaldırılmadan önce yaklaşık bin kez indirildi.
CherryBlos, C2 sunucusundan iki yapılandırma dosyası getirmesi, ek izinleri otomatik olarak onaylamasını ve kullanıcının truva işlemini öldürmesini önlemek için erişilebilirlik hizmeti izinlerini kötüye kullanan bir kripto para birimi stealer'dır.
Cherryblos, kripto para birimi kimlik bilgilerini ve varlıklarını çalmak için bir dizi taktik kullanır; ana taktik, resmi uygulamaları kimlik bilgileri için taklit eden sahte kullanıcı arayüzlerini yüklemektir.
Bununla birlikte, cihazda depolanan görüntülerden ve fotoğraflardan metin çıkarmak için OCR (optik karakter tanıma) kullanan daha ilginç bir özellik etkinleştirilebilir.
Örneğin, yeni kripto para cüzdanları oluştururken, kullanıcılara bilgisayardaki cüzdanı kurtarmak için kullanılabilecek 12 veya daha fazla kelimeden oluşan bir kurtarma ifadesi/şifre verilir.
Bu kelimeleri gösterdikten sonra, kullanıcılardan bunları yazmaları ve güvenli bir yerde saklamaları istenir, çünkü bu ifadeye sahip herkes kripto cüzdanınızı bir cihaza eklemek ve içindeki fonlara erişmek için kullanabilir.
Kurtarma ifadenizin fotoğraflarını çekmeniz önerilmese de, insanlar hala bunu yaparlar, fotoğrafları bilgisayarlarda ve mobil cihazlarına kaydeder.
Ancak, bu kötü amaçlı yazılım özelliği etkinleştirilirse, görüntüyü potansiyel olarak OCR ve kurtarma ifadesini çıkarabilir ve cüzdanı çalmalarına izin verebilir.
Toplanan veriler daha sonra aşağıda gösterildiği gibi düzenli aralıklarla tehdit aktörlerinin sunucularına geri gönderilir.
Kötü amaçlı yazılım ayrıca, bir kripto alıcısının adresini saldırganın kontrolü altında bir tane ile otomatik olarak değiştirerek Binance uygulaması için bir pano korsan görevi görürken, orijinal adres kullanıcıya değişmeden görünür.
Bu davranış, tehdit aktörlerinin kullanıcılara gönderilen ödemeleri kendi cüzdanlarına yönlendirmesine ve aktarılan fonları etkili bir şekilde çalmasına izin verir.
Trend Micro analistleri, Google Play'deki bir kampanyaya bağlantılar buldu, burada toplu olarak "Faketrade" olarak adlandırılan 31 aldatmaca uygulaması, CherryBlos uygulamalarıyla aynı C2 ağ altyapısını ve sertifikalarını kullanıyorlardı.
Bu uygulamalar, kullanıcıları reklam izlemeye, premium abonelikleri kabul eden veya uygulama içi cüzdanlarını doldurmaya ve asla sanal ödülleri para kazanmasına izin vermeyen alışveriş temaları veya para kazanma yemleri kullanır.
Uygulamalar benzer bir arayüz kullanır ve genellikle Malezya, Vietnam, Endonezya, Filipinler, Uganda ve Meksika'daki kullanıcıları hedeflerken, çoğu 2021 ve 2022 yılları arasında Google Play'e yüklendi.
Google, BleepingComputer'a bildirilen kötü amaçlı yazılım uygulamalarının Google Play'den kaldırıldığını söyledi.
Google, Google, "Uygulamalara karşı güvenlik ve gizlilik iddialarını ciddiye alıyoruz ve eğer bir uygulamanın politikalarımızı ihlal ettiğini görürsek, uygun önlemleri alıyoruz."
Ancak, binlerce kullanıcı bunları zaten indirdiğinden, enfekte cihazlarda manuel temizlik gerekebilir.
Google Play, kötü amaçlı yazılım gönderimlerini engellemek için iş kontrollerini zorlayacak
Google Play'de 1.5m yüklü uygulamalar verilerinizi Çin'e gönderin
Anatsa Android Trojan artık ABD, İngiltere'deki kullanıcılardan bankacılık bilgilerini çalıyor
Spinok Android kötü amaçlı yazılım 30 milyon yükleme ile daha fazla uygulamada bulundu
Google Play'den 421 milyon kez yüklü casus yazılımlı Android uygulamaları
Kaynak: Bleeping Computer