Araştırmacılar, benzer Google Play Store sayfalarının yardımıyla Brezilya’nın Itaú Unibanco’sunu hedef alan yeni bir Android bankacılık kötü amaçlı yazılımı keşfettiler.
Cyble araştırmacıları geçen hafta yayınlanan bir raporda, “Bu uygulama, kullanıcıları Itaú Unibanco ile ilgili meşru bir uygulama olduğunu düşünmeleri için kandırabilecek benzer bir simgeye ve ada sahip” dedi. “Tehdit aktörü sahte bir Google Play Store sayfası oluşturdu ve üzerinde Itaú Unibanco’yu hedefleyen kötü amaçlı yazılımı ‘sincronizador.apk’ adı altında barındırdı.”
Sahte uygulama mağazası sayfalarını bir cazibe olarak kullanma taktiği yeni değil. Mart ayında Meta önceden Facebook adıyla bilinir, popüler haber portalları için kopya alan adları kullanan sahtekar üçüncü taraf web sitelerini ve üçüncü kişilere benzemek üzere tasarlanmış web sitelerini kullanarak Uygur Müslümanlarını gözetlemek için daha geniş bir operasyonun parçası olarak platformunu kullanan bir saldırı kampanyasının ayrıntılarını açıkladı. Saldırganların hedeflere hitap edebilecek sahte klavye, dua ve sözlük uygulamaları koyduğu parti Android uygulama mağazalarında bulunuyordu.
Cyble tarafından gözlemlenen en son örnekte, sahte URL yalnızca resmi Android uygulama pazar yerinin kimliğine bürünmekle kalmıyor, aynı zamanda uygulamanın 1.895.897 indirildiğini iddia etmenin yanı sıra kötü amaçlı yazılım yüklü Itaú Unibanco uygulamasını da barındırıyor.
Sahte uygulamayı varsayılan Google Play Store sayfasından yükleyen ve başlatan kullanıcılardan daha sonra, erişilebilirlik hizmetlerinin yanı sıra kötü amaçlı yazılımın bildirimlere erişmesine, pencere içeriğini almasına ve dokunma ve kaydırma hareketlerini gerçekleştirmesine izin veren diğer müdahaleci izinleri etkinleştirmelerini istiyordu.
Araştırmacılara göre truva atının amacı, kullanıcının giriş alanlarını kurcalayarak meşru Itaú Unibanco uygulamasında hileli finansal işlemler yapmak ve erişilebilirlik API’sini kötüye kullanan uzun bir bankacılık kötü amaçlı yazılım listesine katılmak olduğunu barizdir. Google, uygulamaların Android cihazlardan hassas bilgileri yakalamasına izin veren bu tür izinlerin kullanımını kısıtlamak için yeni sınırlamalar getirmeye başladı.
Bu, Sao Paulo merkezli finansal hizmetler şirketinin finansal olarak motive edilmiş tehdit gruplarının radarına girdiği ilk sefer değil. Bu Nisan ayının başlarında ESET, Brezilya’da mühendislik, sağlık, perakende, imalat, finans, ulaşım ve hükümet gibi çeşitli sektörlerde en az 2019’dan beri çarpıcı kurumsal kullanıcılar gözlemlenen Janeleiro adlı yeni bir bankacılık truva atını ortaya çıkardı.
Araştırmacılar, “Tehdit Aktörleri, tespit edilmekten kaçınmak ve giderek daha karmaşık teknikler aracılığıyla kullanıcıları hedeflemek için yeni yollar bulmak için en yeni yöntemlerini sürekli olarak uygularlar. Bu tür kötü amaçlı uygulamalar, kullanıcıları onları yüklemeleri için kandırmak için genellikle meşru uygulamalar gibi görünür” dedi.
“Kullanıcılar, uygulamaları yalnızca orijinalliklerini doğruladıktan sonra yüklemeli ve bu tür saldırılardan kaçınmak için yalnızca resmi Google Play Store’dan ve diğer güvenilir portallardan yüklemelidir.”
Bu makalemiz hoşunuza gittiyse sizleri Android Kötü Amaçlı Yazılımı Telefonunuzu Ele Geçiriyor adlı makalemize bekleriz: https://www.ozztech.net/siber-guvenlik/android-kotu-amacli-yazilimi-telefonunuzu-ele-geciriyor/