Güvenlik araştırmacıları, nadir görülen bir kötü amaçlı yazılım bulgusunu ortaya çıkardı: telefon ekranlarında görüntülenen kimlik bilgilerini çalmak için optik karakter tanımayı kullanan kötü amaçlı Android uygulamaları.
Güvenlik firması Trend Micro’dan araştırmacılar tarafından CherryBlos olarak adlandırılan kötü amaçlı yazılım, Google Play dışında, özellikle para kazanma dolandırıcılığını teşvik eden sitelerde bulunan en az dört Android uygulamasına yerleştirildi. Uygulamalardan biri, Google Play’de bir aya yakın bir süre boyunca mevcuttu ancak kötü amaçlı CherryBlos yükünü içermiyordu. Araştırmacılar ayrıca Google Play’de aynı geliştiriciler tarafından oluşturulan, ancak yükü de içermeyen şüpheli uygulamalar keşfettiler.
Uygulamalar, kötü amaçlı işlevlerini gizlemek için büyük özen gösterdi. Bu tür işlevleri algılayabilen analizleri önlemek için kodu ve kod dizilerini şifrelemek üzere Jiagubao olarak bilinen ticari yazılımın ücretli bir sürümünü kullandılar. Ayrıca, uygulamanın onu yükleyen telefonlarda etkin kalmasını sağlamak için teknikler de sundular. Kullanıcılar, Binance ve diğer kripto para birimi hizmetleri için meşru uygulamaları açtığında, CherryBlos, meşru uygulamalarınkileri taklit eden pencereleri üst üste bindirdi. Para çekme işlemleri sırasında CherryBlos, kurbanın parayı almak için seçtiği cüzdan adresini, saldırgan tarafından kontrol edilen bir adresle değiştirdi.
Kötü amaçlı yazılımın en ilginç yönü, bir hesaba erişim elde etmek için kullanılan anımsatıcı parolaları yakalamasına izin veren nadir, yeni olmasa da özelliğidir. Meşru uygulamalar telefon ekranlarında parolaları görüntülediğinde, kötü amaçlı yazılım önce ekranın bir görüntüsünü alır ve ardından görüntüyü hesaba baskın yapmak için kullanılabilecek bir metin biçimine çevirmek için OCR’yi kullanır.
İlginizi çekebilir: iPhone 13’ten Samsung Galaxy S22 Ultra’ya Geçmek!
Araştırmacılar, “Verildikten sonra, CherryBlos aşağıdaki iki görevi yerine getirecek: 1. Harici depolamadaki resimleri okuyun ve bu resimlerden metin çıkarmak için OCR’yi kullanın ve 2. OCR sonuçlarını düzenli aralıklarla C&C sunucusuna yükleyin.” .
Bankacılık ve finansla ilgili çoğu uygulama, hassas işlemler sırasında ekran görüntüsü alınmasını engelleyen bir ayar kullanır. CherryBlos, görme engelli veya diğer türde engelli kişiler tarafından kullanılan erişilebilirlik izinlerini alarak bu tür kısıtlamaları atlıyor gibi görünüyor.
OCR kullanan önceki kötü amaçlı yazılım örnekleri için yapılan aramalar, uygulamanın yaygın olmadığını düşündürecek şekilde boş çıktı. Trend Micro temsilcileri, başka örnekler olup olmadığını soran bir e-postaya yanıt vermedi.
CherryBlos, bu web sitelerinde bulunan aşağıdaki uygulamalara yerleştirildi:
Araştırmacılar, “Çoğu modern bankacılık truva atı gibi, CherryBlos’un çalışması için erişilebilirlik izinleri gerekiyor” diye yazdı. “Kullanıcı uygulamayı açtığında, kullanıcılardan erişilebilirlik izinlerini etkinleştirmelerini isteyen bir açılır diyalog penceresi gösterecek. Kurbanın şüphelenmesini önlemek için WebView aracılığıyla resmi bir web sitesi de gösterilecek.”
Kötü amaçlı uygulama izinleri aldıktan sonra, bunları yalnızca ekranlarda görüntülenen hassas bilgilerin görüntülerini yakalamak için değil, aynı zamanda diğer hain faaliyetleri gerçekleştirmek için de kullanır. Bunlar, bir sistem diyaloğu göründüğünde “izin ver” düğmesine otomatik olarak tıklayarak izin isteklerini otomatik olarak onaylama ve kullanıcıları uygulama ayarlarına girdiklerinde, muhtemelen anti- kaldırma veya öldürme önleme olasılığı.
Kötü amaçlı uygulamalar, meşru bir cüzdan uygulamasının ne zaman başlatıldığını izlemek için erişilebilirlik izinlerini de kullanır. Tespit edildiğinde, bunları önceden tanımlanmış sahte etkinlikleri başlatmak için kullanır. Amaç, kurbanları kimlik bilgilerini doldurmaya teşvik etmek.
Araştırmacılar, çoğu Google Play’de barındırılan ve dört CherryBlos uygulamasıyla aynı dijital sertifikayı veya saldırgan altyapısını kullanan düzinelerce ek uygulama buldu. 31 uygulama kötü amaçlı veri içermese de, araştırmacılar yine de bunları işaretledi.
Bu uygulamalar yüzeyde tam işlevselliğe sahip gibi görünse de, yine de bazı anormal davranışlar sergilediklerini gördük” diye yazdılar. “Özellikle, tüm uygulamalar oldukça benzerdir, tek fark, aynı uygulama şablonundan türetildiklerinden, kullanıcı arayüzüne uygulanan dildir. Ayrıca Google Play’deki uygulamaların açıklamalarının da aynı olduğunu gördük.
Araştırma, yalnızca kötü amaçlı uygulamaların tehdidini gösteren en son araştırmadır. Bu tehditlerden kaçınmak için sihirli bir değnek yoktur, ancak birkaç akıllı uygulama bu hedefe doğru uzun bir yol kat edebilir. Aralarında:
- Ne yaptığınızı bilmiyorsanız ve siteyi kontrol eden tarafa güvenmiyorsanız, üçüncü taraf sitelerden uygulama indirmeyin ve bunları yandan yüklemeyin.
- Yüklemeden önce uygulamaların incelemelerini okuyun. Uygulamaların kötü amaçlı olduğunu iddia eden incelemeleri ararken özellikle dikkatli olun.
- Erişilebilirlik izinleri arayan uygulamalara özellikle dikkat ederek, uygulamanın gerektirdiği izinleri dikkatlice inceleyin.
Araştırmacılar, “Bu kampanyaların arkasındaki tehdit aktörü, tespitten kaçınmak için yazılım paketleme, gizleme ve Android’in Erişilebilirlik Hizmetini kötüye kullanma gibi gelişmiş teknikler kullandı” diye yazdı. “Bu kampanyalar küresel bir kitleyi hedefledi ve Google Play’de devam eden kötü amaçlı uygulamaların varlığının kanıtladığı gibi, kullanıcılar için önemli bir risk oluşturmaya devam ediyor.
tarafından verilmektedir.