Bulut güvenlik şirketi Zscaler, son aylarda Google Play mağazasında 90’dan fazla kötü amaçlı Android uygulaması tespit ettiğini ettiğini bildirdi, söz konusu uygulamalar kullanıcılar tarafından 5,5 milyondan fazla kez yüklendi.
Zscaler’in açıklamasına göre, Anatsa kötü amaçlı yazılımı (diğer adıyla TeaBot) hızla yayılıyor. Anatsa, kullanıcı ilk yüklediğinde zararsız görünen ancak daha sonra kötü amaçlı kod veya uygulama güncellemesi olarak gizlenmiş bir komut ve kontrol sunucusu indiren son derece tehlikeli sahte bir yazılım. Daha da kötüsü, yazılım Android uygulama mağazasında tespit edilmekten kaçabiliyor.
Uygulamalar başlangıçta kötü amaçlı gözükmüyor. Zscaler’ın verdiği 2 örnek olan PDF Reader & File Manager ve QR Reader & File Manager telefonunuza yüklediğinizde hemen bulaşmıyor. Bunun yerine, bir güvenlik güncellemesi gibi gözüken bir güncellemeyle telefona sonradan bulaşıyor.
Kötü amaçlı yazılım cihaza başarıyla bulaşıp C2 sunucusuyla iletişime başladığında, yüklü bankacılık uygulamalarını tespit etmek için kullanıcının cihazını tarıyor. Herhangi bir uygulama bulursa, bu bilgiyi C2 sunucusuna gönderiyor ve bu sunucu da tespit edilen uygulamalar için sahte bir giriş sayfası gönderiyor. Bu numaraya kanar ve giriş bilgilerinizi girerseniz, bilgiler sunucuya geri gönderiliyor ve bu noktada bilgisayar korsanları bilgileri kullanarak bankacılık uygulamalarınıza giriş yapabiliyor ve paranızı çalabiliyor.
Zscaler araştırmacıları Anatsa’nın öncelikle İngiltere’deki finans kuruluşlarının uygulamalarını hedef aldığını, ABD, Almanya, İspanya, Finlandiya, Güney Kore ve Singapur’da da kurbanlar olduğunu söylüyor. Türkiye ile ilgili herhangi bir veri olmasa da her ihtimale karşı dikkatli olmanız da fayda var.
Araştırmacılar Google Play mağazasında kötü amaçlı yazılım bulaşmış Android uygulamalarının kimliklerini paylaşmamış olsalar da yukarıdaki örnekte paylaşılan uygulamaların her ikisi de artık mevcut değil. Zscaler Google’ı diğer uygulamalar konusunda uyarmış gibi görünüyor.