Siber suçlular, kimlikleri ve iki faktörlü kimlik doğrulama kodlarını çalmak amacıyla muhtemelen binlerce cihaza bulaşan bir bankacılık Truva atını, Google Play Store’da başarıyla gizlemeyi başardılar.
Güvenlik firması Cleafy’nin yeni bir raporu, bazı noktalarda Anatsa veya Toddler olarak da adlandırılan TeaBot bankacılık truva atının, görünüşte meşru bir uygulamadan ikinci aşama bir yük olarak dağıtıldığını tespit etti.
Ekip, bunun “QR Code & Barcode – Scanner” adlı kötü amaçlı olmayan, lanse edilen görevini kusursuz yapan bir uygulamanın güncellemesi olarak dağıtıldığını tespit etti. Uygulama amaçlandığı gibi çalışıyor, yani barkodları ve QR kodlarını doğru bir şekilde tarıyor ve bu sayede Play Store’da çok sayıda olumlu eleştiri aldı.
Ancak raporda söylenilene göre uygulama kurulur kurulmaz, “çoklu TeaBot örnekleri” içeren “QR Code Scanner: Add-On” adlı ikinci bir uygulamayı indirmek için izin istiyor.
Uygulama, gerçekte ne olduğu keşfedilmeden ve uygulama mağazasından kaldırılmadan önce 10.000’den fazla kez indirildi.
Bir kurban “eklentiyi” (Add-On) indirdiğinde, TeaBot uç noktanın ekranını görüntülemek ve kontrol etmek için izinler istiyor ve izin verilirse oturum açma kimlik bilgilerini, SMS mesajlarını veya iki faktörlü kimlik doğrulama kodlarını alıyor. Ayrıca, Android erişilebilirlik hizmetlerini kötüye kullanarak tuş vuruşlarını kaydetmek için erişim sağlıyor.
Cleafy, “Resmi Google Play Store’da dağıtılan uygulama yalnızca birkaç izin istediğinden ve kötü amaçlı uygulama daha sonra indirildiğinden, meşru uygulamalar arasında karıştırılabiliyor ve yaygın antivirüs çözümleri tarafından neredeyse algılanamıyor” diyor.
Google, bulgular hakkında yorum yapmazken uygulamayı mağazadan kaldırdı.
TeaBot ilk olarak geçtiğimiz yıl Mayıs ayında SMS yoluyla gönderilen iki faktörlü kodları çalarak Avrupa bankalarını hedef aldığında görüldü. Cleafy, bu sefer Rusya, Hong Kong ve ABD’deki kullanıcıların hedeflendiğini söylüyor.
Kaynak: Chip
