Zscalers ThreadLabz'den BT güvenlik araştırmacıları Google Play Store'u izliyor ve Dağıtılmış Kötü Uygulamaları analiz ediyor. Odak, özellikle Android cihazlarına saldıran ve finansal uygulamaları hedefleyen Anatsa kötü amaçlı yazılım (bir çaylak olarak da bilinir). İlk örnekler 2020'de keşfedildi, ancak şimdi kötü amaçlı yazılım önemli ölçüde gelişti.
Analizlerinde Zscaler araştırmacıları, Anatsa'nın başlangıçta bir bankacılık truva atı olarak başladığını, erişim verilerini çaldığını, keçetlemeyi çalıştırdığını ve hileli işlemleri gerçekleştirdiğini yazıyor. En son enkarnasyon artık dünya çapında 831 finans kurumuna saldırabilir. Almanya ve Güney Kore'deki enstitüler de kriyopt para platformları ile eklendi. Masterminds, Anatsa Schadcode'un doğrudan kurulumu ile Dalvik tarafından kullanılabilir yüklerin (DEX) dinamik şarjını ağdan değiştirerek malign kodun teslimatını aktarmıştır.
Yüksek indirme numaralarına sahip tarn uygulamaları
Anatsa'nın getirdiği kamuflaj uygulamalarının çoğunda, Play Store'da 50.000'den fazla indirme yükleme numaraları var, Zscaler'ı gösterir. By-catch, yani anatsa kötülük koduna sahip kötü amaçlı yazılım uygulamaları ile BT araştırmacıları, 19 milyondan fazla yüklenmiş 77 uygulamaya geliyor. Bu, Zscaler'ı Google'a bildirdi.
Önceki Anatsa kampanyalarında 650'den fazla finans kurumu vardı. Yaklaşık 180 eklenen 150'den fazla yeni bankacılık ve kripto para birimi uygulaması var. Anatsa, Google Play Store'daki malign uygulamanın yüklendiğinde zararsız göründüğü bir damlalık tekniğine dayanır. Kurulumdan sonra, Anatsa bir güncelleme olarak komut ve kontrol sunucusundan indirir. Sonuç olarak, Anatsa oyun mağazasındaki tanıma mekanizmalarından kaçınır ve cihazları başarıyla enfekte edebilir. Zscaler ekibi ayrıca kamuflaj mekanizmalarını daha kesin olarak analiz eder. Örneğin, dönemde etkinleştirilen bir DEX dosyasını gizlemek için arızalı bir arşiv kullanılır. Kusur nedeniyle, Standart-ZIP araçları dosyayı analiz edemez ve kötü amaçlı yazılımları kaydıramaz.
Anatsa, komut ve kontrol sunucusundan indirdiğiniz kötü amaçlı yazılım sahte giriş sayfalarını görüntüleyerek erişim verilerinden tükenir. Sayfalar, Anatsa'nın akıllı telefonda bulduğu finansal kurumların uygulamalarına özeldir.
Analizlerinde, Zscaler araştırmacıları dört istila göstergesini (uzlaşma göstergeleri, IOCS) çağırıyor. Bununla birlikte, 77 malign uygulamanın tam bir listesi eksik, Google'a rapor verdikten sonra, görünüşe göre Play Store'da mevcut değiller ve Google Play Protect'i kullanarak Google Cosmos'taki akıllı telefonlar tarafından otomatik olarak kaldırıldı.
Geçen yıl Zscaler, şirketin Google Play Store'da 200'den fazla malign uygulamayı izlediği bir yönetim raporu yayınladı. Ancak, sadece 8 milyon tesise geldiler, bu yüzden bu sayı iki kattan fazla.
(DMK)
Bir yanıt yazın