TeaBot Android Bankacılık Trojanı Güncellemeler ile Yayılmaya Devam Ediyor

Güvenlik uzmanları, TeaBot’un daha gelişmiş saldırı yöntemleri ile donatılarak mevcut olarak 400’den fazla uygulamayı hedef alabildiğini tespit etti. “Smishing” adı verilen yönteme dayanan TeaBot, kötü amaçlı bağlantılar içeren metin mesajları ile mobil cihazlara sızmayı başarıyor. Bankalar, sosyal medya ağları veya nakliye firmaları gibi farklı sanayilerdeki şirketlerden geldiği görünümü veren bu mesajlar, kurbanları kişisel bilgilerini ele verdikleri sahte sayfalara yönlendiriyor.

Toddler/Anatsa isimleri ile de bilinen TeaBot, söz konusu dönemde TeaTV, VLC Player, DHL ve UPS dahil yaklaşık 60 uygulamayı etkiliyordu. Temmuz 2021’de yapılan araştırmalar ise TeaBot’un geliştirilerek Avrupa’da birçok bankayı hedef aldığını, en az 18 finansal örgütün saldırıya uğradığını ortaya koydu.

Söz konusu zaman diliminde TeaBot enfeksiyonlarının %90’ının sadece beş şirket ile bağlantılı olması, saldırıların SMS odaklı oltalama kampanyaları ile gerçekleştirildiği izlenimini verdi.

TeaBot’un güncellenmesinin ardından yeni coğrafyalara açıldığı ve listesine Avrupa’nın ardından Rusya, ABD ve Hong Kong‘un da eklendiği belirtildi. Aynı zamanda saldırının operasyon alanı bankalar, kripto para borsaları, dijital sigorta şirketlerine de yayıldı.

Risk yönetim analistleri, saldırının kötü amaçlı yazılım taşıyıcısı araçlar ile Android veri havuzlarına da sızabildiğini ortaya koydu. Şubat ayında yapılan araştırmada, Google Play’de sunulan “QR Code & Barcode Scanner” uygulamasının sahte bir güncelleme aracılığı ile TeaBot yaydığı anlaşıldı.

Bu yöntem siber saldırganlar tarafından sıkça kullanılıyor: Uygulama platformlarına yasal bir ürün ekleniyor, böylece güvenlik kontrol aşamaları atlanıyor. En az 10.000 kullanıcı tabanına erişildikten sonra yapılan güncelleme ile uygulama kötü amaçlı vazifeye bürünüyor.

Kişisel bilgilere ulaşabiliyor

TeaBot, uygulamada “QR Code Scanner: Add-On” adında yeni bir güncelleme sunarak, buna onay veren kullanıcıların cihazlarına RAT yüklemeyi başardı.

Söz konusu uygulama, aynı geliştirici tarafından GitHub veri havuzlarından indiriliyor. RAT indirilmesinin ardından ilk olarak Android işletim sisteminin erişilebilirlik hizmetlerine müdahale ediyor, böylece kötü amaçlı yazılımın tuşlardan uzaktan müdahaleye kadar birçok işleme izin vermesini sağlıyor.

Dahası, TeaBot ekran görüntüleri alarak kişisel bilgilere ulaşabiliyor, hatta iki adımlı doğrulama (2FA) yöntemini de kırabiliyor. Saldırının Google Play’deki meşru görünümlü bir uygulamadan yayılması tespit edilmesini zorlaştırırken, kullanıcılar arasında da anlaşılması güç bir duruma neden oluyor.

Android’de yükselen tehdit

TeaBot adlı Truva atı, Android hizmetlerinin tümünü ele geçirme yeteneğine sahip. TeaBot kullanan siber suçlular keylogging olarak bilinen klavye tuşlarını takip etme yöntemi ile kullanıcılara ait hassas bilgileri ele geçirebiliyor.

Truva atı kendisini milyonlarca kez indirilmiş popüler uygulamaların sahte versiyonu olarak gizleyerek cihazlara yükleniyor. Kötü amaçlı yazılımın kendisini sahte versiyonunda sakladığı uygulamalar genelde antivirüs, VLC açık kaynaklı medya oynatıcısı, sesli kitap uygulamaları gibi popüler konulardaki uygulamaları temsil ediyor. Sahte uygulamalar gerçeklerine benzeyen isimler ve logolar kullanıyor.

Güvenlik araştırmacıları, sahte uygulamaların Google Play Store’dan değil, üçüncü parti mobil uygulama platformlarından indirildiğini tespit etmişti.

Kullanıcıların sahte platformlara yönlendirildiği yöntemlerden biri, sahte reklam bloke uygulamaları. Kötü amaçlı yazılımın taşıyıcısı olarak görev gören bu uygulamalara tüketicilerin nasıl yönlendirildiği henüz anlaşılmış değil.

Sahte reklam bloke edici uygulamanın normalde hiçbir fonksiyonu bulunmuyor. Uygulama, diğer uygulamalar üzerinde etkin olmak için izin istiyor, bildiriler gösteriyor ve Google Play dışında yer alan uygulamalarıindiriyor. Bu uygulamalar indirilmelerinin ardından kendilerini gizliyor.

Her ne kadar gizli kalsalar da söz konusu uygulamalar, kullanıcılara telefonlarının kötü amaçlı yazılımların hedefi olduğuna dair bildiriler gösteriyor ve çözüm için belli bağlantılara yönlendirme yapıyor. Bağlantılara tıklanması halinde cihazlara, TeaBot Truva atı yüklenmiş oluyor.

TeaBot’un ağırlıklı olarak İspanya, İtalya, Belçika, Britanya, Fransa, Hollanda ve Avusturya’da etkili olduğu aktarıldı.