Google Play Store’da keşfedilen yedi kadar kötü niyetli Android uygulaması, adı verilen bir bankacılık truva atını dağıtmak için antivirüs çözümleri olarak gizlendi. KöpekbalığıBot.
Check Point araştırmacıları Alex Shamshur ve Raman Ladutska, “SharkBot kimlik bilgilerini ve banka bilgilerini çalıyor” dedim The Hacker News ile paylaşılan bir raporda. “Bu kötü amaçlı yazılım, onu diğer kötü amaçlı yazılımlardan ayıran bir coğrafi sınırlama özelliği ve kaçınma teknikleri uygular.”
Kötü amaçlı yazılım özellikle Çin, Hindistan, Romanya, Rusya, Ukrayna ve Beyaz Rusya’dan gelen kullanıcıları görmezden gelmek için tasarlanmıştır. Hileli uygulamaların, kaldırılmadan önce 15.000’den fazla kez yüklendiği söyleniyor ve kurbanların çoğu İtalya ve Birleşik Krallık’ta bulunuyor.
Rapor, bankabotun Otomatik Transfer Sistemleri (ATS) aracılığıyla yetkisiz işlemler gerçekleştirmek için antivirüs uygulamaları gibi davrandığını tespit eden NCC Group’un önceki bulgularını tamamlıyor.
SharkBot, yasal bankacılık uygulamalarının üzerinde sahte bindirme pencereleri sunmak için Android’in Erişilebilirlik Hizmetleri izinlerinden yararlanır. Bu nedenle, şüpheli olmayan kullanıcılar, kullanıcı adlarını ve parolalarını, iyi niyetli kimlik bilgileri giriş formlarını taklit eden pencerelere girdiklerinde, yakalanan veriler kötü amaçlı bir sunucuya gönderilir.
SharkBot’un dikkate değer yeni bir özelliği, antivirüs uygulamasına bir kimlik avı bağlantısı dağıtmak için Facebook Messenger ve WhatsApp’tan gelen bildirimlere otomatik olarak yanıt verme ve böylece kötü amaçlı yazılımı solucan benzeri bir şekilde yayma yeteneğidir. Benzer bir özellik, bu Şubat ayının başlarında FluBot’a dahil edildi.
Check Point Software siber güvenlik, araştırma ve inovasyon müdürü Alexander Chailytko, “Burada dikkat çekici olan şey, tehdit aktörlerinin kötü niyetli bağlantılar içeren mesajları kurbanlara iletmesi ve bunun da yaygın bir şekilde benimsenmesine yol açmasıdır.” Dedi.
“Sonuç olarak, tehdit aktörleri tarafından kullanıcılardan yanıt talep eden push-mesajların kullanılması alışılmadık bir yayılma tekniğidir.”
En son bulgular, Google şu adımları atarken geldi: 11 uygulamayı yasakla için istilacı bir SDK’yı dahil ederken yakalandıktan sonra 25 Mart’ta Play Store’dan kullanıcı verilerini gizlice toplayınkesin konum bilgileri, e-posta ve telefon numaraları, yakındaki cihazlar ve şifreler dahil.