Araştırmacılar, benzer Google Play Store sayfalarının yardımıyla Brezilya’nın Itaú Unibanco’sunu hedef alan yeni bir Android bankacılık kötü amaçlı yazılımı keşfettiler.
Cyble araştırmacıları, “Bu uygulama, kullanıcıları Itaú Unibanco ile ilgili meşru bir uygulama olduğunu düşünmeleri için kandırabilecek benzer bir simgeye ve ada sahip” söz konusu Geçen hafta yayınlanan bir raporda. ” [threat actor] sahte bir Google Play Store sayfası oluşturdu ve adı altında Itaú Unibanco’yu hedefleyen kötü amaçlı yazılımı barındırdı ‘sincronizador.apk.'”
Sahte uygulama mağazası sayfalarını bir cazibe olarak kullanma taktiği yeni değil. Mart ayında Meta (önceden Facebook), popüler haber portalları için kopya alan adları kullanan ve üçüncü kişilere benzemek üzere tasarlanmış web siteleri kullanan sahtekar üçüncü taraf web sitelerini kullanarak Uygur Müslümanlarını gözetlemek için daha geniş bir operasyonun parçası olarak platformunu kullanan bir saldırı kampanyasının ayrıntılarını açıkladı. Saldırganların hedeflere hitap edebilecek sahte klavye, dua ve sözlük uygulamaları koyduğu parti Android uygulama mağazaları.
Cyble tarafından gözlemlenen en son örnekte, sahte URL yalnızca resmi Android uygulama pazarının kimliğine bürünmekle kalmıyor, aynı zamanda uygulamanın 1.895.897 indirildiğini iddia etmenin yanı sıra kötü amaçlı yazılım yüklü Itaú Unibanco uygulamasını da barındırıyor.
Sahte uygulamayı varsayılan Google Play Store sayfasından yükleyen ve başlatan kullanıcılardan daha sonra, erişilebilirlik hizmetlerinin yanı sıra kötü amaçlı yazılımın bildirimlere erişmesine, pencere içeriğini almasına ve dokunma ve kaydırma hareketlerini gerçekleştirmesine izin veren diğer müdahaleci izinleri etkinleştirmeleri istenir.
Araştırmacılara göre truva atının amacı, kullanıcının giriş alanlarını kurcalayarak meşru Itaú Unibanco uygulamasında hileli finansal işlemler yapmak ve erişilebilirlik API’sini kötüye kullanan uzun bir bankacılık kötü amaçlı yazılım listesine katılmak. Google, kendi adına, empoze etmeye başladı yeni sınırlamalar uygulamaların Android cihazlardan hassas bilgileri yakalamasına izin veren bu tür izinlerin kullanımını kısıtlamak için.
Bu, Sao Paulo merkezli finansal hizmetler şirketinin finansal olarak motive edilmiş tehdit gruplarının radarına girdiği ilk sefer değil. Bu Nisan ayının başlarında ESET, Brezilya’da mühendislik, sağlık, perakende, imalat, finans, ulaşım ve hükümet gibi çeşitli sektörlerde en az 2019’dan beri çarpıcı kurumsal kullanıcılar gözlemlenen Janeleiro adlı yeni bir bankacılık truva atını ortaya çıkardı.
Araştırmacılar, “Tehdit Aktörleri, tespit edilmekten kaçınmak ve giderek daha karmaşık tekniklerle kullanıcıları hedeflemek için yeni yollar bulmak için yöntemlerini sürekli olarak uyarlar. Bu tür kötü amaçlı uygulamalar, kullanıcıları onları yüklemeleri için kandırmak için genellikle meşru uygulamalar gibi görünür” dedi.
“Kullanıcılar, uygulamaları yalnızca orijinalliklerini doğruladıktan sonra yüklemeli ve bu tür saldırılardan kaçınmak için yalnızca resmi Google Play Store’dan ve diğer güvenilir portallardan yüklemelidir.”
.
siber-2