İlk olarak geçen Ekim ayında ortaya çıkan ve vahşi doğada dolaşmaya devam eden SharkBot adlı tehlikeli bir Android bankacılık Truva Atı, mobil kötü amaçlı yazılımları güvenilir Google Play mobil uygulama mağazası aracılığıyla dağıtmaya çalışırken tehdit aktörlerinin ısrarının en son örneğidir.
Keşfinin “olarak tanımladığı kötü amaçlı yazılımgelecek nesil” — kurban oturum açtığında, işlemdeki çok faktörlü kimlik doğrulama denetimlerini atlayarak banka hesaplarından gizlice para aktarmak için güvenliği ihlal edilmiş Android cihazları kullanır. SharkBot ayrıca kimlik bilgilerini ve kredi kartı verilerini çalabilir ve karmaşık veya yavaşlatmak için tasarlanmış birden çok özelliği paketler aşağı algılama.
Araştırmacılar, geçtiğimiz ay Kontrol Noktası Araştırması belirlendi Google Play’de meşru antivirüs yazılımı gibi görünen ancak bunun yerine uygulamaları indirenlerin cihazlarına SharkBot’u bırakmak için kullanılan en az altı farklı uygulama. Altı uygulama, üç ayrı geliştirici hesabından yüklendi ve Play’de kullanıma sunuldukları görece kısa süre içinde 15.000’den fazla indirildi.
Check Point, SharkBot’u dağıtan uygulamalardan dördünü 23 Şubat 2022’de keşfetti ve 3 Mart’ta, başka bir güvenlik sağlayıcısı olan NCC Group’un Google’ın resmi mobil uygulama mağazasında da aynı tehdidi bulduğunu bildirdiği gün, bunu Google’a bildirdi. Google, yaklaşık bir hafta sonra hileli uygulamaları Google Play’den kaldırdı. Ancak bir haftadan kısa bir süre sonra – ve ondan bir hafta sonra – Check Point, Google Play’de kötü amaçlı yazılım içeren iki uygulama daha keşfetti. Her iki durumda da Google’ın güvenlik ekibi, tehditleri herhangi bir kullanıcı indirmeden önce hızla kaldırmak için harekete geçti.
Bir Google sözcüsü, şirketin kötü amaçlı yazılımın tüm izlerini Play’den kaldırdığını doğruladı.
Bu haftaki bir blogda Check Point, SharkBot’taki kötü amaçlı yazılım yazarlarının Google’ın korumalarını Play uygulama mağazasına yüklemek için birden çok kez atlayabildiğini açıklayan birkaç özelliği vurguladı. SharkBot’un hileleri arasında zaman gecikmeleri, bir sanal alanda çalışıp çalışmadığını tespit etme ve kötü amaçlı işlevlerinin çoğunu Play’in uygulama inceleme işlemleri tamamlandıktan sonra harici bir komuta ve kontrol sunucusundan indirilen bir modülde tutma özellikleri yer alıyor.
SharkBot’un Check Point’in Android kötü amaçlı yazılımlarında nadiren gözlemlediğini söylediği bir yönü, C2 alanlarını değiştirmeye devam etmek için Etki Alanı Oluşturma Algoritmasını (DGA) kullanmasıdır, bu nedenle tehdidi engellemek daha da zorlaşır. Ayrıca, SharkBot’ta kötü amaçlı yazılımın Çin, Rusya, Ukrayna, Hindistan, Beyaz Rusya ve Romanya’da bulunan Android cihazlarda çalışmamasını sağlayan bir coğrafi sınırlama özelliği de dikkate değerdir.
Check Point Software siber güvenlik araştırma ve inovasyon müdürü Alexander Chailytko, “DGA, kötü niyetli bir istemcinin ve kötü niyetli bir aktörün, herhangi bir iletişim olmaksızın birlikte C2 sunucusunu değiştirebileceği bir algoritmadır” diyor. DGA ile Sharkbot, haftada 35 alan oluşturabiliyor ve böylece kötü amaçlı yazılım operatörlerinin sunucularını engelleme sürecini karmaşıklaştırıyor.
SharkBot’un tüm kötü niyetli eylemlerinin komuta ve kontrol sunucusundan tetiklenmesi, kötü amaçlı uygulamanın Google Play’deki bir test süresi boyunca bir tür “KAPALI” durumunda kalabileceği ve geldiklerinde “AÇIK” duruma geçebileceği anlamına gelir. Chailytko, kullanıcıların cihazları, diyor.
Gelişmiş İşlevsellik
İkisi birden açıkkötü amaçlı yazılımı ilk keşfeden ve Bir raporda NCC Grubu Geçen ay, SharkBot’un, SharkBot bulaşmış Android cihaz sahiplerine ait banka hesaplarından para transferleri başlatmak için Otomatik Transfer Sistemleri (ATS) adlı bir tekniği kullandığına dikkat çekildi. Teknik temel olarak, mağdur banka hesaplarına giriş yapmak için güvenliği ihlal edilmiş bir cihaz kullandığında, bankaların genellikle bir para transferi başlatmak için ihtiyaç duyduğu kötü amaçlı yazılım otomatik doldurma alanlarını ve formlarını içerir. Cleafy, çok faktörlü kontrolleri atlayabildiğinden ve önceden kayıtlı cihazlara sahip güvenilir bir kullanıcı tarafından gerçekleştirildiğinden, bu tür hırsızlığın tespit edilmesi çok zor olabilir, dedi.
Cerberus Sentinel’de çözüm mimarisi başkan yardımcısı Chris Clements, zaman gecikmeleri, kod gizleme teknikleri ve coğrafi sınırlama kullanan kötü amaçlı yazılım uygulamalarının tespit edilmesinin zor olabileceğini söylüyor. Öyle olsa bile, Google ve Apple’ın resmi uygulama mağazalarında keşfedilmelerindeki düzenlilik, kullanıcıların bu platformlardaki tüm uygulamaların güvenliğine olan güvenini zedeliyor – özellikle her iki satıcı da uygulama mağazalarını güvenli ve güvenli olarak lanse ettiğinden, Clements şöyle diyor: kısmen büyük bir sorun çünkü bir kişinin dijital yaşamının merkezindeki mobil cihazı başarılı bir şekilde tehlikeye atmak, saldırgana önemli hasara neden olmak için geniş erişim sağlıyor.”
Mobil cihaz kullanıcılarının, indirdikleri uygulamalara, özellikle de engelli kullanıcılara yardımcı olmak için Android’de “Erişilebilirlik Hizmetine” erişmek isteyen herhangi bir uygulamaya verdikleri izinlere çok dikkat etmelerini savunuyor.