Selamlar sayın Türk Hack Team üyeleri ve saygı değer yöneticileri
TeaBot haberi ile sizlerleyiz.
İyi Okumalar Dilerim.
Kötü amaçlı Google Play uygulamaları, Truva atlarını yazılım güncellemelerinde gizleyerek sansür olayından kaçındı.
"Anatsa" olarak da bilinen TeaBot bankacılık truva atı, Cleafy'den araştırmacılar tarafından keşfedilen Google Play mağazasında tespit edilmiştir."
Bu kötü amaçlı yazılım, SMS mesajlarını ve farkında olmayan kullanıcıların oturum açma kimlik bilgilerini engellemek üzere tasarlanmıştır ve rapor, “Rusya, Çin ve ABD'den gelen bankacılık ve finans uygulamalarının 400'den fazla kullanıcısını” etkilemiştir.
Bu, TeaBot'un Android kullanıcılarına korku saldığı ilk şey değil.
TeaBot Ölmez
TeaBot ilk olarak geçen yıl keşfedildi. Virüs bulaşmış cihazlardan gelen bankacılık, iletişim, SMS ve diğer özel veri türlerini sifon etmek için tasarlanmış nispeten basit bir kötü amaçlı yazılımdır. Benzersiz kılan, yani bu kadar güçlü olmasını sağlayan, yayıldığı akıllı bir araç.
TeaBot kötü amaçlı e-posta veya metin mesajı, sahte web sitesi veya üçüncü taraf hizmeti gerektirmez. Bunun yerine genellikle bir damlalık uygulamasında paketlenmiş olarak gelir. Dropper'lar dışarıdan meşru görünen programlardır ancak aslında ikinci aşama kötü amaçlı yük sağlamak için araç olarak hareket eder.
TeaBot dropper, kendilerini sıradan QR kodu veya PDF okuyucu olarak maskeledi. Lookout'taki güvenlik çözümleri kıdemli müdürü Hank Schless, saldırganların "genellikle QR kodu tarayıcıları, flaşlar, fotoğraf filtreleri, Ya da PDF tarayıcıları, insanların ihtiyaç duyulmadan indirdikleri ve indirme kararlarını etkileyebilecek yorumlara bakmaları için çok zaman harcamayacakları için.”
Bu taktik etkili görünüyor. Ocak ayında QR Kod Okuyucu – Tarayıcı Uygulaması adlı bir uygulama, ayda bir kez 17 farklı Teabot modeli dağıttı. Keşfedildiği zamana kadar 100,000'den fazla indirme işlemi yapmayı başardı.
Hollandalı güvenlik firması ThreatFabric tarafından geçen Kasım ayında keşfedilen diğer TeaBot dropper'lar QR Scanner 2021, PDF Document Scanner ve CryptoTracker gibi birçok isimle paketlenmiştir. Güvenlik firması Cleafy'ye göre en son QR Code & Barcode – Scanner oldu.
TeaBot neden durdurulamıyor?
Uygulama mağazalarında kötü amaçlı yazılımla mücadele amaçlı politikalar ve korumalar vardır. Örneğin Google Play Protect, kötü amaçlı uygulamaların yüklenmeden önce kökünün kazılmasına yardımcı olur ve her gün hatalı olduğu kanıtlarını tarar.
Ancak, TeaBot dropper'lar açıkça kötü amaçlı değildir. En azından yüzeyde, hiç ilgi çekici görünmeyebilir.
Bir kullanıcı bu tanımsız uygulamalardan birini açtığında, bir yazılım güncellemesi indirmesi istenir. Aslında güncelleme, kötü amaçlı yük içeren ikinci bir uygulamadır.
Kullanıcı, bilinmeyen bir kaynaktan yazılım yüklemek için uygulama izni verirse bulaşma işlemi başlar. Diğer Android kötü amaçlı yazılımları gibi Öğretmen kötü amaçlı yazılımları da Erişilebilirlik Hizmetlerinden faydalanmaya çalışır. Bu tür saldırılar, uzaktan erişim ve masaüstü paylaşım aracı olan TeamViewer uygulamasını kullanan gelişmiş bir uzaktan erişim özelliği kullanarak kötü amaçlı yazılımın kurbanın cihazları üzerindeki uzaktan kumandasının arkasındaki kötü oyuncuyu korur.
Raporda, bu saldırıların en önemli amacının oturum açma bilgileri, SMS ve 2FA kodları gibi hassas bilgileri cihazın ekranından almak ve aygıtta kötü amaçlı eylemler gerçekleştirmektir.
TeaBot nasıl durdurulabilir
TeaBot saldırıları hızla artmıştır. Cleafy, “bir yıldan kısa bir süre içinde, TeaBot tarafından hedeflenen uygulama sayısı %500'den fazla artarak 60 hedeften 400'in üzerine çıkmıştır.”
Onları durdurmak için ne yapılabilir?
NVisium'un altyapı müdürü Shawn Smith Çarşamba günü e-posta ile Threatpost'a "Uygulama indirmelerinin gerçek zamanlı taranması (uygulama Google Play'den gelmese bile) bu sorunun hafifletilmesine yardımcı olur," dedi. "Google Play'de olmayan uygulama eklentilerini yüklerken ek uyarı mesajları da faydalı olabilir."
NVisium'da danışman olan Leo Pate, Çarşamba günü e-posta yoluyla Threatpost'a "Google, uygulamaların çalıştırması için izin veren izinler üzerinde kontroller uygulayabilir, özel donanım kodlu genel IPS ve etki alanı adlarının listesini alabilir. Daha sonra, [Google,] onları çeşitli kaynaklardan geçirerek 'kötü' olup olmadığını görebilir.”
Schless, uygulama mağazalarının tekneler ile ilgili sorunu giderene kadar kullanıcıların tetikte kalması gerektiğini kaydetti. “Bilgisayarlarında antivirüs ve kötü amaçlı yazılımdan koruma uygulamaları olması gerektiğini herkes bilir ve mobil cihazlarımıza farklı muamele edilmemelidir.”
Evet sayın Türk Hack Team takipçileri bir konumuzun daha sonuna geldik, umarım öğretici bilgiler sunabilmişimdir.
İyi Forumlar Dilerim.
