Google Play’de 200.000’den fazla indirilen “Document Reader – File Manager” adlı ofis dosyaları okuma uygulamasında bankacılık truva atı tespit edildi.
Anatsa (diğer adıyla TeaBot) olarak bilinen kötü amaçlı yazılım, genellikle finans kuruluşlarını hedef almaktadır. Kimlik bilgilerini ele geçirmek ve yetkisiz işlemler gerçekleştirmek için sahte oturum açma sayfaları ve erişilebilirlik hizmetlerini kullanır.
Anatsa’nın Saldırı Zinciri
X’de paylaşılan Zscaler ThreatLabz gönderisine göre dosya yöneticisi ve belge okuyucu olarak gizlenen kötü amaçlı uygulama uzak sunuculardan ek zararlı yazılımları indirip yükleyen bir dropper olarak çalışıyordu.
Uygulama kullanıcılardan kurulumun hemen ardından gerekli bir eklenti gibi görünen bir güncellemeyi indirmelerini istiyordu. İlgili güncelleme ise Google Play değil Github üzerinden indirilip kurulması gerekiyordu. Bu Github üzerinden indirilen parça ise Anatsa bankacılık truva atını içeriyordu.
Anatsa, kötü amaçlı Dalvik Executable (DEX) dosyalarını dinamik olarak yüklemek için yansıtma tabanlı kod yürütme kullanır. Bu yöntem, yükleri yalnızca çalışma zamanında şifre çözerek statik analiz araçlarından kaçınmasını sağlar.
Kötü amaçlı yazılım, sandbox ortamlarını tespit etmek için anti-emülasyon kontrolleri gerçekleştirir ve gerçek bir cihazda çalıştığını doğrulayana kadar zararlı aktivitelerini erteler. Etkin hale geldiğinde ise aşağıdaki gibi kritik izinleri talep eder:
- Erişilebilirlik Hizmetleri: Tuş vuruşlarını kaydetmek, SMS mesajlarını yakalamak ve ekran içeriğini manipüle etmek için kullanılır.
- SMS Erişimi: İki faktörlü kimlik doğrulama (2FA) mekanizmalarını atlatmak için kullanılır.
Truva atı, ardından komuta ve kontrol (C2) sunucularıyla iletişim kurarak cihazın meta verilerini iletir ve hedeflenen bankacılık uygulamalarının profillerini alır.
Tespit edilen her finansal uygulama (PayPal, HSBC, Santander vb.) için sahte bir giriş ekranı enjekte eder, böylece kullanıcıların kimlik bilgilerini doğrudan ele geçirir.
Anatsa’nın son saldırı kampanyası, ağırlıklı olarak Slovakya, Slovenya ve Çekya gibi Avrupa ülkelerini hedef almıştır. Ancak altyapısı, ABD, Güney Kore ve Singapur gibi bölgelere genişleme potansiyeline sahiptir.
Kötü amaçlı yazılım, 600’den fazla bankacılık ve kripto para uygulamasını hedef alarak, cihaz üzerinde dolandırıcılık (ODF) gerçekleştirir ve otomatik işlem sistemleri (ATS) aracılığıyla yetkisiz para transferleri başlatır.
Önlemler
Kullanıcılar aşağıdaki adımları uygulayarak risklerini azaltabilirler:
- Yan yüklemelerden kaçının: Cihaz ayarlarında “Bilinmeyen kaynaklardan yüklemeye izin ver” seçeneğini devre dışı bırakın.
- Uygulama izinlerini gözden geçirin: Erişilebilirlik ve SMS erişimi gibi kritik izinleri, gereksiz uygulamalardan kaldırın.
- Güncellemeleri takip edin: Gerçek uygulamalar yalnızca resmi mağazalardan güncellenir, üçüncü taraf bağlantılardan değil.
Anatsa kampanyası, özellikle gecikmeli yük saldırıları (delayed payload attacks) açısından, uygulama mağazalarındaki güvenlik açıklarının devam ettiğini gözler önüne seriyor.
Google, tespit edilen dropper uygulamayı kaldırmış olsa da, benzer tehditler hâlâ yaygın. Özellikle dosya yöneticileri ve yardımcı araç uygulamaları, şüphe uyandırmadan kötü amaçlı yazılımları gizlemek için sıkça kullanılıyor.
Son kullanıcılar için dikkatli olmak ve temel güvenlik önlemlerine uymak, gelişen mobil tehditlere karşı en önemli savunma hattı olmaya devam ediyor.
Indicators of Compromise (IoCs):
Network:
https://docsresearchgroup[.]com
http://37.235.54[.]59/
http://91.215.85[.]55:85Sample MD5s:
a4973b21e77726a88aca1b57af70cc0a
ed8ea4dc43da437f81bef8d5dc688bdbDiğer yazılarımıza ulaşmak için tıklayabilirsiniz.
Daha fazla bilgi için tıklayabilirsiniz.
Leave a Comment