Play Store'da Binlerce Kez İndirilen Bu Uygulama Truva Atına Kapı Açıyormuş
Google Play Store'da yayınlanan, açıklamada gösterilen görevini kusursuz bir biçimde yapan ve binlerce kez indirilen bu uygulama, meğer Android cihazınıza çok tehlikeli bir truva atı yerleştiriyormuş!
Siber suçlular, kimlikleri ve iki faktörlü kimlik doğrulama
kodlarını çalmak amacıyla muhtemelen binlerce cihaza bulaşan bir
bankacılık Truva atını, Google Play Store'da
başarıyla gizlemeyi başardılar.
Güvenlik firması Cleafy'nin yeni bir raporu, bazı noktalarda Anatsa veya Toddler olarak da adlandırılan TeaBot bankacılık truva atının, görünüşte meşru bir uygulamadan ikinci aşama bir yük olarak dağıtıldığını tespit etti.
Ekip, bunun "QR Code & Barcode - Scanner" adlı kötü amaçlı olmayan, lanse edilen görevini kusursuz yapan bir uygulamanın güncellemesi olarak dağıtıldığını tespit etti. Uygulama amaçlandığı gibi çalışıyor, yani barkodları ve QR kodlarını doğru bir şekilde tarıyor ve bu sayede Play Store'da çok sayıda olumlu eleştiri aldı.
Ancak raporda söylenilene göre uygulama kurulur kurulmaz, "çoklu TeaBot örnekleri" içeren "QR Code Scanner: Add-On" adlı ikinci bir uygulamayı indirmek için izin istiyor.
Uygulama, gerçekte ne olduğu keşfedilmeden ve uygulama mağazasından kaldırılmadan önce 10.000'den fazla kez indirildi.
Bir kurban "eklentiyi" (Add-On) indirdiğinde, TeaBot uç noktanın
ekranını görüntülemek ve kontrol etmek için izinler istiyor ve izin
verilirse oturum açma kimlik bilgilerini, SMS mesajlarını veya iki
faktörlü kimlik doğrulama kodlarını alıyor. Ayrıca, Android
erişilebilirlik hizmetlerini kötüye kullanarak tuş
vuruşlarını kaydetmek için erişim sağlıyor.
Cleafy, "Resmi Google Play Store'da dağıtılan uygulama yalnızca birkaç izin istediğinden ve kötü amaçlı uygulama daha sonra indirildiğinden, meşru uygulamalar arasında karıştırılabiliyor ve yaygın antivirüs çözümleri tarafından neredeyse algılanamıyor" diyor.
Google, bulgular hakkında yorum yapmazken uygulamayı mağazadan kaldırdı.
TeaBot ilk olarak geçtiğimiz yıl Mayıs ayında SMS yoluyla gönderilen iki faktörlü kodları çalarak Avrupa bankalarını hedef aldığında görüldü. Cleafy, bu sefer Rusya, Hong Kong ve ABD'deki kullanıcıların hedeflendiğini söylüyor.