Anatsa Bankacılık Trojanı: Kullanıcıları Tehdit Eden Gizli Saldırı
Son dönemde, Anatsa bankacılık trojanı, Android kullanıcılarını hedef alan yeni bir saldırı dalgasıyla yine gündeme geldi. Bu sefer, bir PDF görüntüleyici olarak kendini gizleyerek Google Play üzerinden 50,000’den fazla indirme elde etmiştir. Kullanıcılar, bu zararlı yazılımın farkında olmadan bankacılık uygulamalarına erişim sağlarken, aslında ciddi bir tehdit altında olduklarının farkında değiller.
Trojanın Çalışma Mekanizması
Anatsa, kullanıcının cihazına kurulduktan hemen sonra devreye giriyor. Bu zararlı yazılım, Kuzey Amerika bankacılık uygulamalarını takibe alıyor ve kullanıcılara sahte bir overlay sunarak hesaplarına erişim imkanı sağlıyor. Bu overlay, kullanıcıların kişisel bilgilerini kaydetme yani keylogging yapma ya da otomatik işlemlere yönlendirme işlevi görüyor. Yani, Anatsa, kullanıcıların bankacılık bilgilerini toplamak için her türlü hileye başvuruyor.
Tehdit Fabric Araştırmaları ve Tespitler
Threat Fabric tarafından yapılan araştırmalar, Anatsa’nın Google Play üzerinde yıllardır aktif olduğunu gösteriyor. Araştırmacılar, bu zararlı yazılımın farklı yasal veya trojanize edilmiş uygulamalar aracılığıyla birden fazla kez sızdığını belgeledi. 2021 yılında ortaya çıkan bir kampanya 300,000 indirme ile dikkat çekerken, 2023 yılının Haziran ayında 30,000 indirme, 2024 yılının Şubat ayında ise 150,000 indirme elde edilmiştir.
En son bilgilere göre, Mayıs 2024’te, Zscaler adlı mobil güvenlik firması Anatsa’nın, Android’in resmi uygulama mağazasında yeni bir sızma gerçekleştirdiğini duyurdu. Bu seferki saldırıda, PDF okuyucu ve QR okuyucu olarak sahte uygulamalar kullanıldı ve toplamda 70,000 indirme sayısına ulaşıldı.
Zararlı Uygulamanın Özellikleri
Threat Fabric’ın tespit ettiği Anatsa uygulaması ’Document Viewer – File Reader’ adı altında yayımlandı. Bu uygulama, Hybrid Cars Simulator, Drift & Racing tarafından geliştirildi. Araştırmacılar, bu uygulamanın, Anatsa operatörlerinin daha önce gösterdiği kurnaz bir taktiği izlediğini belirtiyor. Öncelikle, uygulamanın “temiz” kalması sağlanıyor ve böylece büyük bir kullanıcı kitlesi kazanılıyor. Uygulama yeterince popüler hale geldikten sonra, kötü niyetli kodlar bir güncelleme aracılığıyla devreye alınıyor ve Anatsa yükleniyor.
Anatsa, sızdığı cihaz ile komuta ve kontrol (C2) merkezine bağlantı kurarak, hedef alacağı uygulamaları liste olarak alıyor. Son olarak, bu zararlı uygulama, 24-30 Haziran 2024 tarihleri arasında trojanı dağıtmıştır. Google, bu zararlı uygulamayı mağazadan kaldırsa da, kullanıcıların dikkati ve tedbirleri büyük önem taşıyor.
Nasıl Korunmalıyız?
Eğer bu zararlı uygulamayı indirdiyseniz, hemen kaldırmanızı öneriyoruz. Ayrıca cihazınızda Play Protect aracılığıyla tam bir sistem taraması yapmalı ve bankacılık hesap bilgilerinizin şifresini sıfırlamalısınız. Anatsa, Google Play’de bir şekilde sürekli sızma yolları bulmaya devam ediyor. Dolayısıyla, kullanıcıların yalnızca güvenilir yayıncılardan gelen uygulamaları kullanması, kullanıcı yorumlarını incelemesi ve istenen izinlere dikkat etmesi gerekiyor. Yüklenen uygulama sayısını da minimumda tutmak, kullanıcıların tedbir alması açısından oldukça önemlidir.
Sonuç Olarak
Anatsa gibi zararlı yazılımlar, günümüz dijital dünyasında kullanıcıları ciddi tehditler altına sokmakta. Bunun önüne geçmek için kullanıcıların daha dikkatli olması ve girdiği uygulamalara mutlaka dikkat etmesi gerekiyor. Unutulmamalıdır ki, güvenlik her zaman bir öncelik olmalıdır.
