Google Play ‘deki 9 Android Uygulaması, AlienBot Banker ve MRAT Kötü Amaçlı Yazılım Dağıtırken Yakalandı

Siber güvenlik araştırmacıları, Google Play Store aracılığıyla dağıtılan ve kurbanların finansal hesaplarına müdahaleci erişimin yanı sıra cihazlarının tam kontrolünü ele geçirebilen ikinci aşama bir kötü amaçlı yazılım dağıtan 9 adede kadar Android uygulamasında bulunan yeni bir kötü amaçlı yazılım bırakıcısı keşfettiler.

Check Point araştırmacıları Aviran “Clast82 olarak adlandırılan bu dropper, Google Play Protect tespiti tarafından tespit edilmekten kaçınmak için bir dizi teknik kullanır, değerlendirme dönemini başarıyla tamamlar ve kötü niyetli olmayan bir yükten atılan yükü AlienBot Banker ve MRAT’a değiştirir,” Check Point araştırmacıları Aviran Hazum, Bohdan Melnykov ve Israel Wernik bugün yayınlanan bir yazıda söyledi .

Kampanya için kullanılan uygulamalar arasında Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR / Barcode Scanner MAX, Music Player, tooltipnatorlibrary ve QRecorder bulunuyor. Bulgular 28 Ocak’ta Google’a bildirildikten sonra, hileli uygulamalar 9 Şubat’ta Play Store’dan kaldırıldı.

Kötü amaçlı yazılım yazarları, uygulama mağazası inceleme mekanizmalarını atlamak için çeşitli yöntemlere başvurdu. İster dizeleri analiz motorlarından gizlemek için şifrelemeyi kullanıyor, ister meşru uygulamaların hileli sürümlerini oluşturuyor, ister kullanıcıları uygulamaları indirmeye ikna etmek için sahte incelemeler yapıyor olsun, dolandırıcılar Google’ın sürekli olarak yeni teknikler geliştirerek platformu güvence altına alma girişimlerine karşılık verdiler.

Kullanıcılar arasında güven oluşturmak için uygulamanın temiz bir sürümünü Play Store’a yüklemeyi ve ardından uygulama güncellemeleri yoluyla daha sonraki bir aşamada istenmeyen kodu gizlice eklemeyi ve tetiklemek için zamana dayalı gecikmeleri dahil etmeyi ifade eden sürüm belirleme gibi diğer yöntemler de aynı derecede popülerdir. Google tarafından tespit edilmekten kaçmak amacıyla kötü amaçlı işlevler.

Clast82, Firebase’i komuta ve kontrol (C2) iletişimi için bir platform olarak kullanması ve Dropper işlevini eklemek için meşru ve bilinen açık kaynaklı Android uygulamalarından yararlanmanın yanı sıra kötü amaçlı yükleri indirmek için GitHub’ı kullanması bakımından da farklı değildir. .

Araştırmacılar, “Her uygulama için, aktörün GitHub hesabındaki bir havuzla birlikte Google Play mağazası için yeni bir geliştirici kullanıcısı oluşturdu ve böylece aktörün her kötü amaçlı uygulamadan etkilenen cihazlara farklı yükleri dağıtmasına izin verdi,” dedi.

Örneğin, kötü niyetli Cake VPN uygulamasının, Dhaka merkezli bir geliştirici tarafından Syed Ashraf Ullah adıyla oluşturulan adaşının açık kaynaklı bir sürümüne dayandığı tespit edildi. Ancak uygulama başlatıldığında, daha sonra hedef cihaza yüklenen GitHub’dan yük yolunu almak için Firebase gerçek zamanlı veritabanından yararlanır.

Bilinmeyen kaynaklardan uygulama yükleme seçeneğinin devre dışı bırakılması durumunda Clast82, her beş saniyede bir sahte bir “Google Play Hizmetleri” istemiyle kullanıcıyı tekrar tekrar, izni etkinleştirmesi için uyarır ve sonunda bunu bir Android bankacılık MaaS olan AlienBot’u yüklemek için kullanır ( hizmet olarak kötü amaçlı yazılım), finansal uygulamalardan kimlik bilgilerini ve iki faktörlü kimlik doğrulama kodlarını çalabilir.

Geçen ay, 10 milyondan fazla yüklemeye sahip popüler bir barkod tarayıcı uygulaması, mülkiyeti el değiştirdikten sonra tek bir güncellemeyle haydut oldu. Benzer bir geliştirmede, The Great Suspender adlı bir Chrome uzantısı , eklentinin uzak bir sunucudan rastgele kod yürütmek için yararlanılabilecek özellikleri gizlice eklediğini bildirmesinin ardından devre dışı bırakıldı.

Hazum, “Clast82’nin arkasındaki bilgisayar korsanı, Google Play’in korumalarını yaratıcı, ancak ilgili bir metodoloji kullanarak aşmayı başardı,” dedi. “Bir GitHub hesabı veya bir FireBase hesabı gibi hazır bulunan 3. taraf kaynakların basit bir manipülasyonuyla bilgisayar korsanı, Google Play Store’un korumalarını aşmak için hazır kaynaklardan yararlanabildi. Kurbanlar, resmi Android pazarı, ancak gerçekte elde ettikleri şey, doğrudan finansal hesaplarına gelen tehlikeli bir truva atıydı. “

Kaynak : thehackernews.com

>>Diğer Haberler İçin Tıklayınız.

En son haberler

İlgili haberler