Google Play Store’da, finansal verileri çalabilen ve cihaz dolandırıcılığı gerçekleştirebilen SharkBot ve Vultur gibi bankacılık truva atlarını dağıtan 130.000’den fazla kümülatif yüklemeye sahip beş kötü amaçlı dropper Android uygulaması keşfedildi.
Hollandalı mobil güvenlik firması ThreatFabric, Hacker News’e yaptığı açıklamada, “Bu damlalıklar, resmi mağazaya gizlice giren kötü amaçlı uygulamaların durmadan evrimini sürdürüyor” dedi.
“Bu evrim, yeni tanıtılan politikaları izlemeyi ve dosya yöneticileri gibi görünmeyi ve kötü amaçlı yükü web tarayıcısı aracılığıyla yandan yükleyerek sınırlamaların üstesinden gelmeyi içerir.”
Bunların hedefleri damlalıklar İtalya, İngiltere, Almanya, İspanya, Polonya, Avusturya, ABD, Avustralya, Fransa ve Hollanda’daki finans kurumlarından 231 bankacılık ve kripto para cüzdanı uygulamasını içerir.
Google Play gibi resmi uygulama mağazalarındaki dropper uygulamaları, bu kampanyaların arkasındaki tehdit aktörleri sürekli olarak taktiklerini geliştiriyor olsa bile, bankacılık kötü amaçlı yazılımlarını şüphelenmeyen kullanıcılara dağıtmak için giderek daha popüler ve verimli bir teknik haline geldi. kısıtlamaları atla Google tarafından dayatılan.
Dördü hala dijital pazarda bulunan kötü amaçlı uygulamaların listesi aşağıdadır –
Ekim 2022’nin başından bu yana İtalyan bankacılık kullanıcılarını hedef alan son SharkBot saldırıları dalgası, ülkedeki vergi kodunu belirlemek için maskelenmiş bir damlalık kullanımını gerektirdi (“Codice Fiscale 2022”).
Google’ın Geliştirici Programı Politikası, REQUEST_INSTALL_PACKAGES izni İsteğe bağlı uygulama paketlerini yüklemek için kötüye kullanılmasını önlemek için, dropper bir kez başlatıldığında, uygulama listesinin kimliğine bürünen sahte bir Google Play mağaza sayfası açarak bu engeli aşar ve kötü amaçlı yazılımın bir güncelleme kisvesi altında indirilmesine yol açar.
Kötü amaçlı yazılım alımını tarayıcıya dış kaynak sağlamak, suçlu aktörler tarafından benimsenen tek yöntem değildir. ThreatFabric tarafından tespit edilen başka bir örnekte, damlalık, Google’ın revize edilmiş politikası uyarınca, REQUEST_INSTALL_PACKAGES iznine sahip olmasına izin verilen bir kategori olan bir dosya yöneticisi uygulaması olarak poz verdi.
Ayrıca, reklamı yapılan özellikleri sunan ancak aynı zamanda, kullanıcıları uygulamaları açtıktan sonra bir güncelleme yüklemelerini ve bilinmeyen kaynaklardan uygulama yüklemelerine izin vererek Vultur’un teslim edilmesini sağlayan gizli bir işlevle gelen üç damlalık da tespit edildi.
Truva atının yeni çeşidi, ThreatFabric’in söylediğine göre, kullanıcı arabirimi öğelerini ve etkileşim olaylarını (örneğin tıklamalar, hareketler vb.) FLAG_SECURE pencere bayrağı ekran görüntülerinde yakalanmalarını önlemek için bankacılık uygulamaları tarafından.
ThreatFabric’ten elde edilen bulgular Cyble olarak da geliyor açık yükseltilmiş versiyonu Drinik Android truva atı Bu, erişilebilirlik hizmetleri API’sinin kötüye kullanılması yoluyla kişisel bilgileri sifonlamak için ülkenin resmi vergi dairesi uygulamasını taklit ederek 18 Hint bankasını hedefliyor.
Şirket, “Google Play’deki damlalıklar aracılığıyla dağıtım, farklı seviyelerdeki aktörlerin çoğu için kurbanlara ulaşmanın en ‘uygun fiyatlı’ ve ölçeklenebilir yolu olmaya devam ediyor” dedi.
“Telefon odaklı saldırı teslimi gibi karmaşık taktikler daha fazla kaynak gerektirir ve ölçeklenmesi zor olsa da, resmi ve üçüncü taraf mağazalardaki damlalıklar, tehdit aktörlerinin makul çabalarla geniş, şüphelenmeyen bir kitleye ulaşmasını sağlar.”
