Ortaya çıkan bir Android bankacılık truva atı adı verildi Zanubiler artık şüphelenmeyen kullanıcıları kötü amaçlı yazılımı yüklemeleri için kandırmaya yönelik bir Peru hükümeti uygulaması kılığına giriyor.
Kaspersky, “Zanubis’in ana bulaşma yolu, meşru Peru Android uygulamalarının kimliğine bürünmek ve ardından cihazın tam kontrolünü ele geçirmek için kullanıcıyı Erişilebilirlik izinlerini etkinleştirmesi için kandırmaktır.” söz konusu Geçen hafta yayınlanan bir analizde.
Zanubiler, orijinal olarak belgelenmiş Ağustos 2022’de piyasaya sürülen bu virüs, Latin Amerika (LATAM) bölgesini hedef alan Android bankacılığa yönelik kötü amaçlı yazılımların uzun listesine eklenen en son öğedir. Hedefler arasında Peru’daki 40’tan fazla banka ve finansal kuruluş yer alıyor.
Kimlik bilgilerini çalmak amacıyla hedeflenen uygulamaların üzerinde sahte ekranlar görüntülemek için virüs bulaşmış cihazdaki erişilebilirlik izinlerini kötüye kullandığı biliniyor. aynı zamanda kişi verilerini, yüklü uygulamaların listesini ve sistem meta verilerini toplama yeteneğine de sahiptir.
Kaspersky, Nisan 2023’te, Superintendencia Nacional de Aduanas y de Administración Tributaria (SUNAT) adlı Peru gümrük ve vergi dairesi kisvesi altında faaliyet gösteren son Zanubis örneklerini vahşi doğada gözlemlediğini söyledi.
Uygulamayı yüklemek ve erişilebilirlik izinlerini vermek, uygulamanın arka planda çalışmasına ve bir meşruiyet maskesi oluşturmak için Android’in Web Görünümü’nü kullanarak orijinal SUNAT web sitesini yüklemesine olanak tanır. WebSockets üzerinden sonraki aşama komutlarını almak için aktör kontrollü bir sunucuya olan bağlantıları korur.
İzinler, cihazda açılan uygulamaları takip etmek ve bunları hedeflenen uygulamalar listesiyle karşılaştırmak için daha da güçlendirilir. Listedeki bir uygulamanın başlatılması durumunda Zanubis, hassas verileri aktarmak için tuş vuruşlarını günlüğe kaydetmeye veya ekranı kaydetmeye devam ediyor.
Zanubis’i farklı kılan ve onu daha güçlü kılan şey, bir Android işletim sistemi güncellemesi gibi davranarak cihazı etkili bir şekilde kullanılamaz hale getirme yeteneğidir.
Kaspersky, “‘Güncelleme’ çalışırken, kötü amaçlı yazılımın bu girişimleri izlemesi ve engellemesi nedeniyle telefon kilitlenemeyecek veya kilidi açılamayacak kadar kullanılamaz durumda kalıyor.” dedi.
Bu gelişme, AT&T Alien Labs’ın, komut ve kontrolün yanı sıra kullanıcı girişini ve ekran içeriğini yakalayabilen MMRat adlı başka bir Android tabanlı uzaktan erişim trojanını (RAT) ayrıntılı olarak açıklamasıyla birlikte geliyor.
Şirket, “RAT’lar, keşif ve veri sızmasından uzun vadeli kalıcılığa kadar birçok yetenekleri nedeniyle bilgisayar korsanlarının kullanması için popüler bir seçimdir.” söz konusu.