Bu sefer de Google Play’de kötücül kod içeren bir yazılım bulundu. ThreatFabric tarafından hazırlanan yeni rapora göre, bankacılık uygulamasının 300 bin kere indirildiği görülüyor. Başka deyişle yaklaşık 300.000 cihaza bulaştı.
Güvenliği ihlal edilmiş cihazlara gönderilen Android bankacılık truva atları, çevrimiçi bankacılık veya kripto para birimi uygulamalarında oturum açtıklarında kullanıcıların kimlik bilgilerini çalmaya çalışıyor. Kimlik bilgisi hırsızlığı, genellikle giriş ekranlarının üstünde görüntülenen sahte banka giriş formu bindirmeleri kullanılarak yapılıyor.
Çalınan kimlik bilgileri daha sonra saldırganın sunucularına geri gönderiliyor ve burada diğer tehdit aktörlerine satılmak üzere toplanıyor veya kurbanların hesaplarından kripto para birimi ve para çalmak için kullanılıyor.
Google’ın politikalarında yapılan son değişiklikler ve artan incelemeler, siber korsanları tespit edilmekten kaçınmak için taktiklerini geliştirmeye zorladı. Bu evrim, kullanıcıları uygulamayı yüklemeye kandırmak için fitness, kripto para birimi, QR kodları ve PDF tarama gibi ortak temalara odaklanan küçük, gerçekçi görünümlü uygulamalar oluşturmayı içeriyor. Ardından, uygulamalara daha fazla meşruiyet kazandırmak için Google’ın incelemelerini geçmesine yardımcı olmak üzere uygulamanın temasına uyan web siteleri oluşturuyorlar.
ThreatFabric araştırmacıları yeni raporlarında , “Google’ın bu denetimi, oyuncuları dropper uygulamalarının ayak izini önemli ölçüde azaltmanın yollarını bulmaya zorladı. İyileştirilmiş kötü amaçlı yazılım kodu çabalarının yanı sıra, Google Play dağıtım kampanyaları da önceki kampanyalardan daha rafine .”
“Örneğin, Google Play’de daha uzun bir süre boyunca dikkatlice planlanmış küçük kötü amaçlı kod güncellemeleri sunarak ve ayrıca dropper uygulamasının temasıyla tam olarak eşleşmesi için bir dropper C2 arka ucunu destekleyerek (örneğin, egzersiz odaklı bir uygulama için çalışan bir Fitness web sitesi) ”
ThreatFabric, temmuz 2021’den bu yana on altı farklı uygulama aracılığıyla ‘Alien’, ‘Hydra’, ‘Ermac’ ve ‘Anatsa’ adlı dört farklı bankacılık truva atının yüklendiğini raporladı. Bu dört aylık kötü amaçlı etkinlik sırasında ThreatFrabric, uygulamaların 300.000 kez ve bazılarının 50.000’den fazla indirildiğini tespit etti.
Kimlik bilgisi hırsızlığını hedefleyen yaklaşık 537 çevrimiçi site ve mobil uygulama ile bankaların, para transferi uygulamalarının, kripto para borsalarının, kripto para cüzdanlarının ve posta hizmetlerinin sayısı şaşırtıcı düzeyde. Hedeflenen kuruluşlar arasında Gmail, Chase, Citibank, HSBC, Coinbase, Kraken, Binance, KuCoin, CashApp, Zelle, TrustWallet, MetaMask ve daha fazlası yer alıyor.
Google bu kötü amaçlı uygulamaların tümünü Play Store’dan kaldırdı.