Siber güvenlik araştırmacıları Google Play Store’da bankacılık trojanı dağıtımı için kullanılan yeni bir kampanyayı ortaya çıkardı.
thehackernews.com da yer alan bilgiye göre “ Dropper ” olarak adlandırılan bu yazılımlar hem tehdit aktörlerinin tespit edilmesini zorlaştırıyor hem de zararlı yazılım dağıtımı için oldukça etkili. Dropper’ların, Google’ın Play Store güvenlik kontrollerini gizlice geçmek için tasarlanmış uygulamalar olduğu ve hedef cihaza daha etkili zararlı yazılımların (Octo , Hydra , Ermac ve TeaBot gibi bankacılık trojanlerinin) bulaşmasını sağlamakta oldukları belirtiliyor.
Trend Micro ’nun yaptığı araştırmaya göre, DawDropper adlı yazılım güvenilir uygulamaları taklit ederek kurbanların mobil cihazlarına erişim sağlıyor. Her geçen gün daha da yaygınlaşan bu yazılımlar, dark web’de bazı tehdit aktörleri tarafından DaaS ( dropper -as-a-service) olarak da satışa sunuluyor.
Daha önce uygulama mağazasında bulunan kötü amaçlı uygulamaların listesi –
- Call Recorder APK (com.caduta.aisevsk)
- Rooster VPN (com.vpntool.androidweb)
- Super Cleaner- hyper & smart (com.j2ca.callrecorder)
- Document Scanner – PDF Creator (com.codeword.docscann)
- Universal Saver Pro (com.virtualapps.universalsaver)
- Eagle photo editor (com.techmediapro.photoediting)
- Call recorder pro+ (com.chestudio.callrecorder)
- Extra Cleaner (com.casualplay.leadbro)
- Crypto Utils (com.utilsmycrypto.mainer)
- FixCleaner (com.cleaner.fixgate)
- Just In: Video Motion (com.olivia.openpuremind)
- com.myunique.sequencestore
- com.flowmysequto.yamer
- com.qaz.universalsaver
- Lucky Cleaner (com.luckyg.cleaner)
- Simpli Cleaner (com.scando.qukscanner)
- Unicc QR Scanner (com.qrdscannerratedx)
Octo
trendmicro.com‘da DawDropper’ın dağıtımını yaptığ en bilindik yazılımın Octo olduğu belirtiliyor. Octo’nun Enfekte olan cihazın tam kontrolünü ele geçirerek bankacılık bilgileri gibi hassas verileri ele geçirebildiği , kötü amaçlı faaliyetlerini gizleme yeteneğine de sahip olduğu belirtiliyor ve Octo ile ilggili detaylı bilgiler paylaşılırken DawTropper analizine de yer verilmiş.
“Octo , kurbanın cihazını açık tutarak zamanlanmış bir hizmete kaydeder. Kurban cihazda bazı ana izinleri elde ettikten sonra başarılı bir şekilde çalışmaya başlar ve hassas verileri C2 sunucusuna yükler.
Octo’nun bir diğer özelliği ise enfekte olmuş cihazdaki tüm ekran hareketlerini kayıt altına alabiliyor olmasıdır. Virtual network computing (VNC) kullanarak kurbanın PIN’lerini , email adreslerini ve çeşitli uygulamalara giriş için kullandığı bilgileri ele geçirme imkanı sunar. Faaliyetlerini gizlemek için cihazın sesini ve arka plan ışığını kapatarak kapalı gibi görünmesini sağlar.” – Kaynak TrendMicro