Siber Muhbir

ThreatFabric, paylaşılan bir raporda, "Kampanyadaki damlalıklardan bazıları, Google Play'in gelişmiş algılama ve koruma mekanizmalarına rağmen erişilebilirlik hizmetinden başarıyla yararlandı" dedi.

"Bu kampanyadaki tüm damlalıklar, Android 13'te erişilebilirlik hizmeti için kısıtlı ayarları atlama yeteneğini gösterdi." Kampanya, toplamda, toplam 100.000'den fazla kuruluma sahip beş damlalık içeriyor.

TeaBot ve Toddler adıyla da bilinen Anatsa'nın, Google Play Store'da görünüşte zararsız uygulamalar kisvesi altında dağıtıldığı biliniyor. Damlalık adı verilen bu uygulamalar, Google tarafından uygulanan ve hassas izinler vermeye çalışan güvenlik önlemlerini atlatarak kötü amaçlı yazılımın yüklenmesini kolaylaştırır.

Haziran 2023'te Hollandalı mobil güvenlik firması, Play Store'da toplu olarak 30.000'den fazla kez indirilen damlalık uygulamalarını kullanarak en az Mart 2023'ten bu yana ABD, Birleşik Krallık, Almanya, Avusturya ve İsviçre'deki bankacılık müşterilerini hedefleyen bir Anatsa kampanyasını ifşa etti.

Anatsa, virüslü cihazlar üzerinde tam kontrol sahibi olma ve kurban adına eylemler gerçekleştirme yetenekleriyle donatılmıştır. Ayrıca hileli işlemler başlatmak için kimlik bilgilerini çalabilir.

Kasım 2023'te gözlemlenen en son yineleme, damlalıklardan birinin "Phone Cleaner - File Explorer" (paket adı "com.volabs.androidcleaner") adlı bir telefon temizleme uygulaması gibi görünmesi ve kötü niyetli davranışını tanıtmak için sürüm oluşturma adı verilen bir teknikten yararlanması bakımından farklı değil.

Uygulama artık Android için resmi mağazadan indirilemese de, diğer kabataslak üçüncü taraf kaynaklar aracılığıyla indirilebilir.

Uygulama istihbarat platformu AppBrain'de bulunan istatistiklere göre, uygulamanın Google Play Store'da yayınlandığı 13 Kasım ile 27 Kasım arasında yaklaşık 12.000 kez indirildiği tahmin ediliyor.

ThreatFabric araştırmacıları, "Başlangıçta, uygulama zararsız görünüyordu, kötü amaçlı kod yoktu ve erişilebilirlik hizmeti herhangi bir zararlı faaliyette bulunmuyordu" dedi.

"Ancak, yayınlanmasından bir hafta sonra, bir güncelleme kötü amaçlı kod getirdi. Bu güncelleme, erişilebilirlik hizmeti işlevselliğini değiştirerek, [komut ve kontrol] sunucusundan bir yapılandırma aldıktan sonra düğmelere otomatik olarak tıklamak gibi kötü amaçlı eylemler gerçekleştirmesini sağladı."

Damlalığı dikkate değer kılan şey, erişilebilirlik hizmetinin kötüye kullanılmasının Samsung cihazlarına göre uyarlanmış olmasıdır, bu da kampanyada kullanılan diğer damlalıkların üreticiden bağımsız olduğu tespit edilmiş olsa da, bir noktada yalnızca şirket yapımı telefonları hedeflemek için tasarlandığını düşündürmektedir.

Damlalıklar ayrıca, daha önce SecuriDropper gibi damlalık hizmetlerinde gözlemlendiği gibi, pazar yerleri tarafından erişilebilirlik hizmeti işlevlerine erişimleri devre dışı bırakılmadan yeni uygulamalar yüklemek için kullanılan süreci taklit ederek Android 13'ün kısıtlı ayarlarını atlatabilir.

Ayrıca, damlalık uygulamalarının algılamayı önlemek için çok aşamalı bir yaklaşım kullandığı, yapılandırmayı ve APK yüklerini C2 sunucusundan dinamik olarak indirdiği ve tehdit aktörlerinin kötü amaçlı bileşenleri istedikleri zaman değiştirmesine olanak tanıdığı gözlemlendi.

ThreatFabric, "Bu aktörler, küresel bir yayılma yerine belirli bölgelere yönelik yoğun saldırıları tercih ediyor ve periyodik olarak odaklarını değiştiriyor" dedi. "Bu hedefli yaklaşım, sınırlı sayıda finansal kuruluşa konsantre olmalarını sağlayarak kısa sürede çok sayıda dolandırıcılık vakasına yol açıyor."

Gelişme, Fortinet FortiGuard Labs'ın, hedef cüzdan adreslerini ve aktör tarafından kontrol edilenlerle değiştirmek ve yasa dışı varlık transferleri gerçekleştirmek için imToken olarak bilinen Singapur merkezli meşru bir kripto para cüzdanı hizmetini taklit ederek SpyNote uzaktan erişim truva atını dağıtan başka bir kampanyayı detaylandırmasıyla geldi.

Güvenlik araştırmacısı Axelle Apvrille, "Günümüzdeki birçok Android kötü amaçlı yazılımı gibi, bu kötü amaçlı yazılım da erişilebilirlik API'sini kötüye kullanıyor" dedi. "Bu SpyNote örneği, ünlü kripto cüzdanlarını hedeflemek için Erişilebilirlik API'sini kullanıyor."

Güncelleştirmek 

Google, haberin yayınlanmasının ardından şu açıklamayı paylaştı:

"Raporda tanımlanan tüm uygulamalar Google Play'den kaldırıldı. Android kullanıcıları, Google Play Hizmetleri'ne sahip Android cihazlarda varsayılan olarak açık olan Google Play Protect tarafından bu kötü amaçlı yazılımın bilinen sürümlerine karşı otomatik olarak korunur. Google Play Protect, Play dışındaki kaynaklardan gelse bile kullanıcıları uyarabilir veya kötü amaçlı davranışlar sergilediği bilinen uygulamaları engelleyebilir."

Google Play Store'dan kaldırılan Anatsa damlalıklarının tam listesi aşağıdadır -

• Telefon Temizleyici - Dosya Gezgini (com.volabs.androidcleaner)
• PDF Görüntüleyici - Dosya Gezgini (com.xolab.fileexplorer)
• PDF Okuyucu - Görüntüleyici ve Düzenleyici (com.jumbodub.fileexplorerpdfviewer)
• Telefon Temizleyici: Dosya Gezgini (com.appiclouds.phonecleaner)
• PDF Okuyucu: Dosya Yöneticisi (com.tragisoap.fileandpdfmanager)

ThreatFabric, verdiği demeçte, "PDF Reader: File Manager"ın geçen hafta keşif sırasında 10.000'den fazla kuruluma sahip olduğunu, ancak 19 Şubat 2024'te kaldırılmadan önce 100.000 kuruluma fırladığını söyledi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.