Bitdefender Mobile Threats ekibinden araştırmacılar, Aralık ayının başından bu yana Flubot kötü amaçlı yazılımını dağıtmaya çalışan 100.000’den fazla kötü amaçlı SMS mesajını ele geçirdiklerini söyledi.
Rumen siber güvenlik firması, “Bulgular, saldırganların konu satırlarını değiştirdiğini ve kullanıcıları tıklamaya ikna etmek için daha eski ancak kanıtlanmış dolandırıcılık yöntemlerini kullandığını gösteriyor.” detaylı Çarşamba günü yayınlanan bir raporda. “Ayrıca, saldırganlar bu kampanyada hedefledikleri ülkeleri hızla değiştiriyorlar.”
Yeni saldırı dalgasının diğerlerinin yanı sıra Avustralya, Almanya, Polonya, İspanya, Avusturya ve İtalya’da en aktif olduğu ve Ocak ayının ortasından itibaren Romanya, Hollanda ve Tayland gibi daha yeni ülkelere yayılan saldırılar olduğu söyleniyor.
FluBot (aka Cabassous) kampanyaları, potansiyel kurbanları hedeflemek için birincil dağıtım yöntemi olarak smishing kullanır, burada kullanıcılar “Bu videodaki siz misiniz?” Sorusunu içeren bir SMS mesajı alırlar. ve kötü amaçlı yazılımı yükleyen bir bağlantıya tıklamaları için kandırılırlar.
Araştırmacılar, “Bankacılık truva atları için bu yeni vektör, saldırganların normal kötü niyetli SMS mesajlarını aşmak istediğini gösteriyor” dedi.
TeaBot, QR Kod Tarayıcı Uygulamaları gibi görünüyor
Sadece FluBot değil. TeaBot (aka Anatsa) adlı başka bir Android trojanının, Aralık ayı arasında kötü amaçlı yazılımın 17 farklı çeşidini sunarken 100.000’den az indirme çeken “QR Kod Okuyucu – Tarayıcı Uygulaması” adlı bir uygulama biçiminde Google Play Store’da gizlendiği gözlemlendi. 6, 2021 ve 17 Ocak 2022.
Giderek daha yaygın hale gelen bir taktikle, uygulama vaat edilen işlevselliği sunuyor, ancak aynı zamanda GitHub’da barındırılan kötü amaçlı bir APK dosyasını almak için tasarlandı, ancak mevcut kayıtlı operatörün ülke kodunun ” Ü.”
Hileli uygulamanın yüklenmesi daha sonra, kullanıcıya bir eklenti güncellemesinin gerekli olduğunu ve ayarın izin vermesi gerektiğini bildiren sahte bir kullanıcı arayüzünün sunulmasını içerir. bilinmeyen kaynaklardan yüklemeler güncellemenin uygulanabilmesi için etkinleştirilmesi gerekir.
BitDefender, Play Store’da bulunan ve en az Nisan 2021’den bu yana TeaBot kötü amaçlı yazılımını dağıtan dört damlalıklı uygulama daha — 2FA Authenticator, QR Scanner APK, QR Code Scan ve Smart Cleaner — belirlediğini söyledi.
Operatörler tarafından benimsenen başka bir teknik de, Google tarafından uygulanan inceleme sürecinden kaçınmak amacıyla bir uygulamanın iyi huylu bir sürümünü uygulama mağazasına göndererek çalışan sürüm oluşturmadır. daha sonraki bir tarihte güncellemeler.
Operatörlerin, daha geniş bir enfeksiyon havuzuna ulaşmak için Play Store korumalarını aşmanın ötesinde, diğer yasal uygulamalarda ve oyunlarda sunulan Google Ads’de görünmek için ödeme yaptıklarına ve “onlara milyonlarca kullanıcıya sahip olabilecek bir uygulamada ekran süresi sağladığına” inanılıyor.
Analiz ayrıca, Haziran 2021’den bu yana Play Store’da altı Anatsa dropper bulan Hollandalı siber güvenlik firması ThreatFabric’in önceki raporunu da doğruluyor. Uygulamalar bir “güncelleme” indirecek şekilde programlandı ve ardından kullanıcılardan Erişilebilirlik Hizmeti ayrıcalıkları ve yükleme izinleri vermelerini istedi. bilinmeyen üçüncü taraf kaynaklardan gelen uygulamalar.
Zimperium’da uç nokta güvenliği ürün stratejisi direktörü Richard Melick, “Kötü niyetli aktörler, geliştirme ve sürüm oluşturma ile kötü amaçlı yazılımlara bir ürün gibi davranıyor, güvenlik teknolojilerini atlatmak ve daha fazla kurban kazanmak için çok çalışıyor” dedi.
Melick, “Bir sürüm bozulduğunda, kötü niyetli aktörler, özellikle sonuçlar etkili olduğunda, bir sonraki sürümü geliştirmeye geri döner. Ve mobil uç nokta, saldırganlar için inanılmaz derecede kazançlı bir hedeftir,” diye ekledi.
GriftHorse’dan Dark Ringa’ya
Geliştirme, Zimperium zLabs’ın, GriftHorse çizgisinde bir başka premium hizmet kötüye kullanımı kampanyasının ayrıntılarını açıklamasıyla geldi.
“Polar yazılım” olarak da sınıflandırılan fatura sahtekarlığının 70’den fazla ülkede 105 milyondan fazla kullanıcıyı etkilediği ve çoğu kurbanın Mısır, Finlandiya, Hindistan, Pakistan ve İsveç’te olduğu söyleniyor.
Mobil güvenlik şirketinin “Dark Herring” kod adını verdiği devasa operasyon, Mart 2020’ye kadar geriye gitti ve bugüne kadar keşfedilen en uzun süredir devam eden mobil SMS dolandırıcılıklarından biri haline geldi.
Truva atı uygulamalarının devasa yuvası o zamandan beri Play Store’dan silinmiş olsa da, üçüncü taraf uygulama mağazalarında hala mevcut ve uygulamaların mobil cihazlara yandan yüklenmesi söz konusu olduğunda potansiyel tehlikelerin bir kez daha altını çiziyor.
Zimperium araştırmacısı Aazim Yaswant, “470’in üzerinde Android uygulamasına ek olarak, uygulamaların dağıtımı son derece iyi planlandı, uygulamalarını birden fazla, çeşitli kategoriye yayarak potansiyel kurbanların yelpazesini genişletti.” söz konusu. “Uygulamaların kendileri de reklamı yapıldığı gibi çalıştı ve yanlış güven duygusunu artırdı.”