Araştırmacılar, çeşitli ülkelerdeki kullanıcıların finansal bilgilerini toplamak için bir Android bankacılık truva atının kullanıldığını keşfettiler. Daha önce aynı güvenlik araştırma firması tarafından iki yıl önce keşfedilen Anatsa truva atı, Play Store’daki birkaç uygulama aracılığıyla üretkenlik ve ofis uygulamaları kılığına girerek kullanılmış ve 30.000’den fazla indirilmiştir. Kötü amaçlı yazılım oluşturucular, ilk inceleme sırasında tespit edilmekten kaçınmak için temiz uygulamaları Google’ın uygulama mağazasında yayınlar ve ardından bunları kötü amaçlı kodla günceller. Bu virüslü uygulamaları indiren kullanıcıların bunları akıllı telefonlarından manuel olarak kaldırması gerekecek.
Güvenlik firması ThreatFabric’in sahip olduğu yayınlanan Play Store’da “ofis” uygulamaları (belgeler ve elektronik tablolar için) ve PDF görüntüleyici ve düzenleyici uygulamaları olarak pazarlanan birkaç uygulamaya bulaşan Anatsa bankacılık truva atının ayrıntıları. Bir kullanıcı virüs bulaşmış uygulamalardan birini yükledikten sonra, kötü amaçlı yazılımı indirmek için bir GitHub sunucusuna bağlanıyor. firmaya
ThreatFabric’in truva atından etkilenen bazı bankacılık uygulamalarının listesi
Fotoğraf Katkısı: Ekran Görüntüsü/ ThreatFabric
Bankacılık truva atı daha sonra ABD’deki Capital One ve JP Morgan Mobile uygulamaları dahil olmak üzere çeşitli ülkelerden yaklaşık 600 bankacılık uygulamasını ve ayrıca Avustralya, Fransa, Almanya, İtalya, Birleşik Krallık, Güney Kore, İsveç ve İsviçre’den bankacılık uygulamalarını hedefleyecektir. . Bankacılık uygulamasını açmaya çalıştıklarında kullanıcının ekranında bir kimlik avı sayfası görüntüler. Kötü amaçlı yazılım daha sonra tuş vuruşlarını günlüğe kaydederek kredi kartı bilgilerini, oturum açma kimlik bilgilerini, PIN numaralarını çalabilir.
Anatsa bankacılık truva atını gerçekten alçakça yapan şey, kurbandan toplanan bilgileri meşru bankacılık uygulamalarını yüklemek ve hesaplarından para aktarmak için kullanabilmesidir. Güvenlik firması, bunun bankalar tarafından kullanılan dolandırıcılık önleme sistemlerinin otomatik, gayri meşru işlemi tanımlamasını zorlaştırdığını açıklıyor. ThreatFabric’e göre bu fonlar daha sonra Anatsa operatörlerine kripto para birimi biçiminde aktarılıyor.
| Uygulama | Android paket adı |
|---|---|
| PDF Reader – PDF’yi Düzenle ve Görüntüle | lsstudio.pdfreader.powerfultool.allinonepdf.goodpdfaraçlar |
| PDF Okuyucu ve Düzenleyici | com.proderstarler.pdfimza |
| PDF Okuyucu ve Düzenleyici | moh.filemanagerrespdf |
| Tüm Belge Okuyucu ve Düzenleyici | com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs |
| Tüm Belge Okuyucu ve Görüntüleyici | com.muchlensoka.pdfcreator |
ThreatFabric tarafından tanımlanan ve yukarıdaki tabloda listelenen Anatsa truva atı için “damlalıkları” yükleyen kullanıcıların bu uygulamaları akıllı telefonlarından manuel olarak kaldırmaları gerekecektir. Daha önce truva atını keşfeden güvenlik firmasına göre, uygulamalar Play Store’dan çoktan kaldırıldı. 2021’de.
ThreatFabric, Google’ın Anatsa truva atının bulaştığı uygulamaları kaldırdıktan sonra bile, içerik oluşturucuların derhal uygulamanın yeni bir sürümünü bir kez daha gizlenmiş olarak Play Store’a yükleyeceğini belirtiyor. Bu hain truva atlarından korunmak için, kullanıcılar iyi bilinen uygulamaları seçmeli ve bilgi hırsızlığı veya dolandırıcılık raporları için kullanıcı incelemelerini kontrol ederken birkaç kez indirilenleri yüklemekten kaçınmalıdır.