Olarak bilinen Android bankacılık dolandırıcılığı kötü amaçlı yazılımı Köpekbalığı Robotu uygulama pazarının kısıtlamalarını aşmak için dosya yöneticileri kılığına girerek resmi Google Play Store’da bir kez daha başını kaldırdı.
Rumen siber güvenlik şirketi Bitdefender’a göre, hileli uygulamaları indiren kullanıcıların çoğu İngiltere ve İtalya’da bulunuyor. söz konusu bu hafta yayınlanan bir analizde.
İlk olarak 2021’in sonlarına doğru Cleafy tarafından keşfedilen SharkBot, bir yinelenen hem Google Play Store’da hem de diğer üçüncü taraf uygulama mağazalarında dağıtılan mobil tehdit.
Truva atının birincil hedeflerinden biri, güvenliği ihlal edilmiş cihazlardan “Otomatik Transfer Sistemi” (Otomatik Transfer Sistemi) adı verilen bir teknikle para transferlerini başlatmaktır.ATS), bir bankacılık uygulaması aracılığıyla tetiklenen bir işlemin, alacaklı hesabını arka planda aktör tarafından kontrol edilen bir hesapla değiştirmek için durdurulduğu.
Kullanıcılar yasal bankacılık uygulamalarını açmaya çalıştıklarında sahte bir oturum açma yerleşimi sunabilir ve bu süreçte kimlik bilgilerini çalabilir.
Çoğu zaman, bu tür uygulamalar, Google Play Store’a sızmak için virüsten koruma yazılımı ve temizleyiciler kılığına girerek görünüşte zararsız işlevler sunar. Ancak, cihaza yüklendikten sonra kötü amaçlı yazılım yükünü getirebilen damlalıklar olarak da ikiye katlanırlar.
Artık kaldırılan damlalık uygulamaları aşağıdadır –
- X-File Manager (com.victorsoftice.llc) – 10.000’den fazla indirme
- FileVoyager (com.potsepko9.FileManagerApp) – 5.000+ indirme
- LiteCleaner M (com.ltdevelopergroups.litecleaner.m) – 1.000+ indirme
LiteCleaner M, “Phone AID, Cleaner, Booster” (com.sidalistudio.developer.app) adlı dördüncü bir SharkBot yapıtını da barındıran Apksos adlı üçüncü taraf bir uygulama mağazasından indirilebilir.
Yalnızca İtalya’daki kullanıcıların erişebildiği X-File Manager uygulaması, kaldırılmadan önce 10.000’den fazla indirildi. Google’ın sürekli olarak izinlerin kötüye kullanılması konusunda baskı yapmasıyla birlikte, tehdit aktörünün yem olarak bir dosya yöneticisini kullanması şaşırtıcı değil.
Bunun nedeni, Google’ın Geliştirici Programı Politikası kısıtlar birkaç uygulama kategorisine harici paketler (REQUEST_INSTALL_PACKAGES) yükleme izni: web tarayıcıları, ekleri destekleyen anlık mesajlaşma programları, dosya yöneticileri, kurumsal cihaz yönetimi, yedekleme ve geri yükleme ve cihaz aktarımı.
Her zaman, bu izin uzak bir sunucudan kötü amaçlı yazılım indirmek ve yüklemek için kötüye kullanılır. Hedeflenen banka uygulamalarından bazıları Bank of Ireland, Bank of Scotland, Barclays, BNL, HSBC UK, Lloyds Bank, Metro Bank ve Santander’dir.
“Uygulama [i.e., the dropper] Bitdefender araştırmacıları, anti-emülatör kontrolleri gerçekleştiriyor ve SIM ISO’nun BT veya GB ile uyumlu olup olmadığını doğrulayarak Büyük Britanya ve İtalya’dan kullanıcıları hedefliyor” dedi.
Söz konusu uygulamaları yükleyen kullanıcıların bunları silmeleri ve banka hesabı şifrelerini hemen değiştirmeleri önerilir. Kullanıcılara ayrıca etkinleştirmeleri önerilir Play Store Korumasıve indirmeden önce uygulama derecelendirmelerini ve incelemelerini inceleyin.