onun ardından keşif Araştırmacılar, Nisan ayında birkaç antivirüs uygulamasında SharkBotDropper truva atının bir kez daha Google Play Store’a sızdığını söyledi.
yeni bir göre bildiri (yeni sekmede açılır) Güvenlik şirketi NCC Group’un bir bölümü olan Fox-IT’den, çevrimiçi bankacılık kimlik bilgilerini çalmak için tasarlanmış truva atını taşıyan iki ek Android antivirüs uygulaması bulundu.
Araştırmacılar, SharkBot’un yeniden canlanmasının, siber saldırganlar ve Google arasındaki kedi-fare oyununda bir sonraki adımı işaret ettiğini söylüyor. Kötü amaçlı yazılım artık kendisini yüklemek için bir Android cihazının erişilebilirlik izinlerinin kötüye kullanılmasına dayanmıyor, ancak aşağıdaki sahte uygulamalara yapılan bir güncelleme aracılığıyla sunuluyor:
- Mister Phone Cleaner (50.000+ indirme)
- Kylhavy Mobile Security (10.000+ indirme)
Android bankacılık truva atı
Kullanıcılar bu uygulamalardan herhangi birini yüklediyse, Sharkbot özel bankacılık ayrıntılarını çeşitli şekillerde tehlikeye atabilir.
Resmi bankacılık uygulaması açıldığında sahte bir giriş sayfası enjekte edebilir. Bu olursa, kullanıcılar tanıdık olmayan veya en azından normal arayüzden biraz farklı görünen bir ekran görebilir.
SharkBot’un ayrıca, tuş basımlarını günlüğe kaydedip bunları harici bir sunucuya göndermesinin yanı sıra metin mesajlarını yakalayıp gizlediği de bilinmektedir. Ayrıca alınan kısa mesajlara ve anlık mesajlara yanıtlar göndererek kötü amaçlı yazılımı kısaltılmış bir bağlantı aracılığıyla yayabilir.
Sharkbot’un bankacılık kimlik bilgilerini ele geçirmek için kullanabileceği belki de en güçlü yöntem, saldırganların bir kullanıcının cihazına uzaktan erişmesine, bankacılık uygulamalarında işlem formlarını otomatik olarak doldurmasına ve transferleri harekete geçirmesine izin vermektir.
Bu özelliklerin çoğunun düzgün çalışması için bankacılık uygulamalarına erişilebilirlik izinlerinin verilmesi küçük bir lütuftur. Kullanıcılar, bunların etkinleştirilip etkinleştirilmediğini kontrol etmeli ve hala gerekliyse kısa vadede bankacılık uygulamalarını kaldırmayı düşünmelidir.
Bu gibi saldırılara karşı korunmak için kullanıcılar, Android için saygın bir antivirüs uygulaması kullanarak düzenli güvenlik taramaları çalıştırmalı ve bulduğu SharkBot gibi tehditleri kaldırmasına izin vermelidir.
Söz konusu cihaz daha büyük bir ağda bulunuyorsa, kullanıcılar işletmeleri için uç nokta korumasına yatırım yapmayı düşünmelidir.
Bu arada, rahatsız edici uygulamalardan zaten etkilenmiş olabilecekler, önce bunları kaldırmalı ve tehdit ortadan kalkana kadar bankacılık uygulamalarını kullanmayı bırakmalıdır.
SharkBot’un evrimi
SharkBot’un tasarım özellikleri, bazı siber saldırganların kullandığı yöntemlerde, mümkün olduğu kadar çok cihaza bulaşmaktan, jeopolitik kampanyaların bir parçası olarak belirli bölgelerdeki cihazları hedeflemeye doğru bir kaymaya işaret ediyor olabilir.
Nisan ayındaki SharkBot salgını esas olarak Birleşik Krallık ve İtalya’yı hedef aldı, ancak Ağustos ayının sonlarında Fox-IT, İspanya, Avustralya, Polonya, Almanya, Avusturya ve Amerika Birleşik Devletleri’nin artık SharkBot’un komuta ve kontrol sunucuları (C2’ler) tarafından da hedef alındığını tespit etti. .
A ayrı rapor (yeni sekmede açılır) Nisan ayında Check Point Research tarafından yayınlanan “Sharkbot, karşılaştığı her potansiyel kurbanı hedef almıyor, yalnızca Çin, Hindistan, Romanya, Rusya, Ukrayna veya Beyaz Rusya’dan kullanıcıları belirlemek ve yok saymak için coğrafi sınırlama özelliğini kullanarak yalnızca birini seçiyor.”
Kötü amaçlı yazılım saldırıları, özellikle arkalarındaki motivasyonlar belirsiz olduğunda rahatsız edici olabilir. Bu nedenle, tehditleri gerçek zamanlı olarak engelleyen kötü amaçlı yazılım temizleme araçlarının elinizin altında olması önemlidir, böylece kullanıcılar bir daha kötü niyetli bir saldırı hakkında endişelenmek zorunda kalmazlar.