SharkBot adlı kötü amaçlı bankacılık yazılımı, bir antivirüs uygulaması gibi görünen Google Play Store güvenlik kontrollerinden kaçmayı başardı. SharkBot, Ekim 2021’den beri aktif olan bir bankacılık truva atı olarak bilinirken, bankacılık hesabı kimlik bilgilerini çalmaya ve çok faktörlü kimlik doğrulama mekanizmalarını atlamaya izin veriyor.
Kötü amaçlı yazılım, siber güvenlik firmaları Cleafy ve ThreatFabric‘ten araştırmacılar tarafından Ekim ayının sonunda tespit edildi, adı komuta ve kontrol sunucuları için kullanılan alanlardan birinin ardından geliyor. Kötü amaçlı yazılımın İtalya, İngiltere ve ABD‘deki bankaların mobil kullanıcılarını hedef aldığı gözlemlendi. Truva atı, kullanıcıların mobil cihazlarını ele geçirmeye ve çevrimiçi bankacılık ve kripto para hesaplarından fon çalmaya olanak tanıyor.
İlginizi çekebilir; Apple’a Ne Önerirsiniz? #3
SharkBot, Android kötü amaçlı yazılımlarında nadir görülen gelişmiş bir saldırı tekniği olan Otomatik Aktarım Sistemleri (ATS) aracılığıyla yetkisiz işlemler gerçekleştirebilir. Araştırmacılar, bu tekniğin kötü amaçlı yazılımın simüle edilecek olayların bir listesini almasına ve saldırganların operasyonlarını otomatikleştirmesine ve büyütmesine olanak tanıdığına dikkat çekti.
“ATS özellikleri, kötü amaçlı yazılımın simüle edilecek olayların bir listesini almasına izin veriyor ve para transferlerini yapmak için simüle edilecekler.(NCC Group). “Bu özellik, dokunuşları/tıklamaları ve düğme basışlarını simüle etmek için kullanılabildiğinden, yalnızca otomatik olarak para aktarmak için değil, aynı zamanda diğer kötü amaçlı uygulamaları veya bileşenleri yüklemek için de kullanılabilir.”
Kötü amaçlı yazılım Google Play Store aracılığıyla sahte bir Antivirüs olarak dağıtıldığı bildirilirken, sahte Antivirüs uygulamasını indirmek için bir mesajla otomatik olarak yanıt bildirimi göndermek için “Doğrudan Yanıt” Android özelliğini kötüye kullanıyor.
Doğrudan Yanıt özelliğini kötüye kullanan bu yayılma stratejisi, yakın zamanda ThreatFabric tarafından keşfedilen Flubot adlı başka bir bankacılık kötü amaçlı yazılımında görülmüştür.
SharkBot, çoğu kurbanların Erişilebilirlik İzinleri ve Hizmetlerini etkinleştirmesini isteyen aşağıdaki tekniklerden biriyle Android’de bankacılık kimlik bilgilerinin çalınmasına olanak tanıyor:
- Injections (yer paylaşımlı saldırı): SharkBot, resmi bankacılık uygulamasının açıldığını tespit eder etmez, sahte oturum açma web sitesine (phishing) sahip bir WebView göstererek kimlik bilgilerini çalabilir.
- Keylogging: Sharkbot, erişilebilirlik olaylarını günlüğe kaydederek ve bu günlükleri komut ve kontrol sunucusuna (C2) göndererek kimlik bilgilerini çalabilir.
- SMS engelleme: Sharkbot, SMS mesajlarını engelleme/gizleme yeteneğine sahiptir.
- Uzaktan kumanda/ATS: Sharkbot, bir Android cihazının tam uzaktan kontrolünü elde etme yeteneğine sahiptir
NCC grup uzmanları, Google Play Store‘a yüklenen ve on binlerce kez indirilen kusurlu uygulamaların listesi de paylaştı:
- Antivirus, Super Cleaner (com.abbondioendrizzi.antivirus.supercleaner)
- Atom Clean-Booster, Antivirus (com.abbondioendrizzi.tools.supercleaner)
- Alpha Antivirus, Cleaner (com.pagnotto28.sellsourcecode.alpha)
- Powerful Cleaner, Antivirus (com.pagnotto28.sellsourcecode.supercleaner)