Bir tehdit aktörü, çeşitli Avrupa ülkelerindeki Android kullanıcılarına “Anatsa” adı verilen tehlikeli bir bankacılık Truva Atını dağıtmak için Google’ın Play Store’unda meşru mobil uygulamalar gibi görünen kötü amaçlı yazılım indiricileri kullanıyor.
Kampanya en az dört aydır devam ediyor ve ilk kez 2020’de ortaya çıkan ve daha önce ABD, İtalya, Birleşik Krallık, Fransa, Almanya ve diğer ülkelerde kurbanlara maruz kalan kötü amaçlı yazılımın operatörlerinin son salvosu.
Yüksek Enfeksiyon Oranı
ThreatFabric araştırmacıları, Anatsa’yı ilk keşfinden bu yana izliyor ve Kasım 2023’te başlayan yeni saldırı dalgasını tespit etti. Bu hafta yayınlanan bir raporda, Dolandırıcılık tespit sağlayıcısı, saldırıların Slovakya, Slovenya ve Çek Cumhuriyeti’ndeki bankaların müşterilerini hedef alan çok sayıda farklı dalga halinde gerçekleştiğini belirtti.
Hedeflenen bölgelerdeki Android kullanıcıları, Kasım ayından bu yana şimdiye kadar Google’ın Play mağazasından en az 100.000 kez kötü amaçlı yazılıma yönelik damlalıklar indirdi. ThreatFabric’in 2023’ün ilk yarısında takip ettiği önceki bir kampanyada, tehdit aktörleri Google’ın mobil uygulama mağazasından Anatsa için 130.000’den fazla silahlı damlalık kurulumu toplamıştı.
ThreatFabric, nispeten yüksek enfeksiyon oranlarını, Google Play’deki dağıtımcıların Anatsa’yı Android cihazlarda sunmak için kullandıkları çok aşamalı yaklaşıma bağladı. Bırakanlar Play’e ilk kez yüklendiğinde, kötü niyetli davranış önerecek hiçbir şey bulunmuyor. Bırakanlar ancak Play’e ulaştıktan sonra, uzak bir komut ve kontrol (C2) sunucusundan kötü amaçlı eylemler gerçekleştirmek için kodu dinamik olarak alır.
Daha temiz bir uygulama olarak gizlenen geliştiricilerden biri, meşru gibi görünen bir nedenden dolayı Android’in Erişilebilirlik Hizmeti özelliği için izin gerektirdiğini iddia etti. Android’in Erişilebilirlik Hizmeti, engelli ve özel ihtiyaçları olan kullanıcıların Android uygulamalarıyla etkileşimde bulunmasını kolaylaştırmak için tasarlanmış özel bir özellik türüdür. Tehdit aktörleri, Android cihazlara veri yüklemesini otomatikleştirmek ve işlem sırasında herhangi bir kullanıcı etkileşimi ihtiyacını ortadan kaldırmak için bu özellikten sıklıkla yararlanıyor.
Çok Aşamalı Yaklaşım
“Başlangıçta [cleaner] ThreatFabric, uygulamanın zararsız göründüğünü, hiçbir kötü amaçlı kod içermediğini ve Erişilebilirlik Hizmetinin herhangi bir zararlı faaliyette bulunmadığını belirtti. “Ancak, uygulamanın yayınlanmasından bir hafta sonra bir güncelleme, kötü amaçlı kod ortaya çıkardı. Satıcı, bu güncellemenin AccessibilityService işlevselliğini değiştirdiğini ve C2 sunucusundan bir yapılandırma aldığında düğmelere otomatik olarak tıklamak gibi kötü amaçlı eylemler gerçekleştirmesine olanak sağladığını belirtti.
Damlalığın C2 sunucusundan dinamik olarak aldığı dosyalar, Android uygulama kodunu dağıtmaya yönelik kötü amaçlı bir DEX dosyasının yapılandırma bilgilerini içeriyordu; yük kurulumu için kötü amaçlı kod içeren bir DEX dosyasının kendisi, bir yük URL’si ile yapılandırma ve son olarak Anatsa’yı cihaza indirip yüklemek için kod.
Threat Fabric, tehdit aktörlerinin kullandığı çok aşamalı, dinamik olarak yüklü yaklaşımın, en son kampanyada kullandıkları her bir bırakıcının, Google’ın Android 13’te uyguladığı daha sert Erişilebilirlik Hizmeti kısıtlamalarını aşmasına olanak tanıdığını söyledi.
En son kampanya için Anatsa operatörü, Google Play’de ücretsiz cihaz temizleme uygulamaları, PDF görüntüleyiciler ve PDF okuyucu uygulamaları olarak gizlenen toplam beş damlalık kullanmayı tercih etti. ThreatFabric raporunda, “Bu uygulamalar genellikle ‘En İyi Yeni Ücretsiz’ kategorisinde ilk 3’e ulaşıyor, güvenilirliklerini artırıyor ve potansiyel kurbanların korumasını düşürürken başarılı sızma şansını da artırıyor.” dedi. Anasta, bir sisteme yüklendikten sonra, tehdit aktörünün cihazı ele geçirmesine ve daha sonra kullanıcının banka hesabına giriş yapıp buradan para çalmasına olanak tanıyan kimlik bilgilerini ve diğer bilgileri çalabilir.
Apple gibi Google da son yıllarda çok sayıda güvenlik mekanizması uygulamaya koydu. Tehdit aktörlerinin kötü amaçlı uygulamaları gizlice ele geçirmesini zorlaştırın resmi mobil uygulama mağazası aracılığıyla Android cihazlara. Bunların arasında en önemlilerinden biri de Google Play Koruması, uygulama yüklemelerini potansiyel olarak kötü niyetli veya zararlı davranış belirtileri açısından gerçek zamanlı olarak tarayan, ardından şüpheli bir şey bulursa uygulamayı uyaran veya devre dışı bırakan yerleşik bir Android özelliğidir. Android’in kısıtlı ayarlar özelliği, tehdit aktörlerinin dışarıdan yüklenen uygulamalar veya resmi olmayan uygulama mağazalarındaki uygulamalar aracılığıyla Android cihazlara virüs bulaştırmayı denemesini de çok daha zorlaştırdı.
Buna rağmen tehdit aktörleri saldırılarına devam etmeyi başardı. Kötü amaçlı yazılımları Android cihazlara gizlice sokma ThreatFabric, Android’in AccessibilityService gibi özellikleri kötüye kullanarak veya çok aşamalı enfeksiyon süreçlerini kullanarak ve kötü amaçlı uygulamaları yüklemek için Play Store’dakileri taklit eden paket yükleyicileri kullanarak Play aracılığıyla saldırı yapıldığını söyledi.