Google Play-dən ümumilikdə 19 milyon dəfə yüklənmiş 77 zərərli tətbiq silinib
27.08.2025 / Maraqlı məlumatlar
77 zərərli Android tətbiqi ümumilikdə 19 milyondan çox yüklənmə ilə Google Play-də aşkar edilib və sonradan silinib. Təhlükə Zscaler ThreatLabs tədqiqat qrupunun mütəxəssisləri tərəfindən Anatsa bank troyanı (Tea Bot adı ilə də tanınır) ilə bağlı yeni yoluxma dalğasının təhlili zamanı müəyyən olunub. Təhlil göstərib ki, zərərli tətbiqlərin 66%-dən çoxunda adware komponentləri mövcud olub, lakin ən çox yayılmış zərərli proqram təminatı növü Joker troyanı olub və o, yoxlanılan tətbiqlərin təxminən 25%-də aşkarlanıb. Joker quraşdırıldıqdan sonra SMS oxumaq və göndərmək imkanı əldə edir, ekran görüntülərini çəkə bilir, zənglər həyata keçirə bilir, kontakt siyahılarını kopyalayır, cihaz haqqında məlumat toplayır və avtomatik olaraq pullu abunəliklərə qoşula bilir. Bəzi tətbiqlər maskware kateqoriyasına aid olub - yəni, leqal tətbiqlər kimi görünüb işləyən, amma arxa planda istifadəçi məlumatlarını, bank məlumatlarını, yerləşmə məlumatlarını və SMS-ləri oğurlayan, həmçinin əlavə zərərli modullar yükləyə bilən zərərli tətbiqlər.
Zscaler tədqiqatçıları həmçinin Joker troyanının Harly adlanan bir variantını da aşkar ediblər. Klassik Joker-dən fərqli olaraq, Harly zərərli kodu serverdən yükləmir, onu APK faylının içində şifrələnmiş şəkildə saxlayır - məsələn, resurslarda və ya native kitabxanada. Bu, Google Play yoxlamasından yayınmağa imkan verir. Human Security şirkətinin hesabatına görə, Harly məşhur tətbiqlər - oyunlar, divar kağızları, fənərlər və foto redaktorlar - adı altında maskalanır və artıq onlarla oxşar yükləmə ilə mağazaya daxil olmağı bacarıb. Troyan Anatsa-nın son versiyası hədəf alınan tətbiqlərin siyahısını genişləndirib: indi o, 831 bank və kriptovalyuta tətbiqinə hücum edir, halbuki əvvəllər bu say 650 idi. Bununla yanaşı, kibercinayətkarlar tələ kimi Document Reader - File Manager tətbiqindən istifadə ediblər: quraşdırıldıqdan sonra o, kod yoxlamasından yayınaraq zərərli Anatsa modulunu yükləyir.
Maskalanmaq üçün Anatsa pozulmuş APK arxivlərindən istifadə edir ki, bu da statik analizi çətinləşdirir, həmçinin icraetmə zamanı DES əsaslı sətir şifrələməsini, emulatorların aşkarlanmasını və paket adlarının və heşlərin mütəmadi dəyişdirilməsini həyata keçirir. Troyan Accessibility Service icazələrindən sui-istifadə edərək avtomatik şəkildə özünə geniş imtiyazlar verir. O, serverindən 831-dən çox xidmət üçün fişinq formaları yükləyir, o cümlədən Almaniya və Cənubi Koreyadan olan tətbiqlər üçün, həmçinin ixtiyari məlumatları toplamaq üçün keylogger moduluna malikdir. Zscaler tədqiqatçısı Himanshu Sharma qeyd edib ki, ThreatLabz komandası Google Play-də reklam proqram təminatlı tətbiqlərin sayında kəskin artım qeydə alıb. Bu isə Joker, Harly və bank troyanları kimi təhdidlərin aktivliyi fonunda baş verib, halbuki Facestealer və Coper kimi zərərli tətbiqlərin sayı əksinə, azalıb.
