Google Play’dagi 50 mingdan ortiq yuklab olingan ilova Anatsa bank troyanini tarqatgani aniqlandi

Rasmiy Google Play ilova do‘koni ham ba’zan kiberjinoyatchilar hiylasiga uchrab qolishi mumkin. Zscaler ThreatLabz mutaxassislari yaqinda “Document Reader – File Manager” nomi bilan joylashtirilgan va 50 ming martadan ortiq yuklab olingan ilova aslida Anatsa (TeaBot) deb nomlanuvchi xavfli bank troyanini tarqatgani aniqladi.

Oddiy hujjat o‘quvchi ko‘rinishidagi xavf

Ilova o‘zini PDF o‘qish, hujjatlarni skanerlash va fayllarni boshqarish uchun qulay dastur sifatida tanishtirgan. Interfeysi ham odatiy ko‘rinishda bo‘lib, foydalanuvchilarni hech qanday shubha uyg‘otmagan.

Ammo ilova o‘rnatilgach, orqa fonda yashirin ravishda zararli yuklamani o‘zining “yangilanishi” sifatida yuklab olgan. Bu jarayon Google Play himoyasidan ham o‘tib ketgan.

Agar zararli fayl yuklanmasa, ilova o‘zini haqiqiy hujjat o‘quvchi sifatida davom ettirib, foydalanuvchini chalg‘itishni davom ettirgan.

Anatsa — bank ma’lumotlarini o‘g‘irlovchi xavfli dastur

2020-yildan buyon faol bo‘lgan Anatsa troyani Android foydalanuvchilariga katta xavf tug‘dirib kelmoqda. U quyidagi imkoniyatlarga ega:

  • bank ilovalari login-parollarini o‘g‘irlash
  • SMS orqali keluvchi tasdiqlash kodlarini o‘qish
  • ekrandagi harakatlarni kuzatish
  • foydalanuvchi nomidan firibgarlik tranzaksiyalarini amalga oshirish
  • bank ilovalariga o‘xshash soxta oynalar chiqarib, ma’lumotlarni olish

Yangi versiyalari esa dunyo bo‘yicha 800 dan ortiq bank va moliyaviy tashkilotlarni, hatto kripto xizmatlarini ham nishonga olishni boshlagan.

Ilova talab qilgan ruxsatlar xavfni kuchaytirgan

Ilova foydalanuvchilardan quyidagi xavfli ruxsatlarni so‘ragan:

  • Accessibility Service – avtomatik boshqaruv uchun
  • SMS o‘qish – bankdan keladigan kodlarni qo‘lga kiritish uchun
  • Ekran ustida oyna chiqarish – bank ilovalari ustiga soxta oynalarni chiqarish uchun

Aynan shu ruxsatlar yordamida Anatsa foydalanuvchining bank ilovasida kiritgan ma’lumotlarini osonlikcha o‘g‘irlagan.

Google Play’da zararli ilovalar soni ortmoqda

Bu holat yakka emas. ThreatLabz yaqinda Google Play’dan 77 ta zararli ilova o‘chirib tashlanganini ma’lum qildi. Ulardan umumiy hisobda 19 milliondan ortiq yuklab olish qayd etilgan.

Ko‘pchilik zararli ilovalar aynan “hujjat o‘quvchi”, “fayl boshqaruvchi”, “telefon tezlashtiruvchi” kabi foydali ko‘rinadigan nomlar ostida yashirinadi.

Aniqlangan kampaniya indikatorlari (IOC)

  • Package name: com.quantumrealm.nexdev.quarkfilerealm_filedoctool
  • Installer MD5: 98af36a2ef0b8f87076d1ff2f7dc9585
  • Payload MD5: da5e24b1a97faeacf7fb97dbb3a585af
  • Download URL: quantumfilebreak[.]com/txt.txt
  • C2 serverlari:
    • 185.215.113[.]108:85/api/
    • 193.24.123[.]18:85/api/
    • 162.252.173[.]37:85/api/

Foydalanuvchilarga muhim tavsiyalar

  • Ilovalarni yuklashdan oldin sharhlar va ishlab chiquvchi haqida ma’lumotni tekshiring.
  • Ilova talab qilgan ruxsatlarni sinchiklab ko‘rib chiqing.
  • Ilova ichida “yangilanish” degan xabarlar chiqsa ehtiyot bo‘ling.
  • Mobil antivirusdan foydalaning.
  • Bank ilovalari ustiga chiqadigan to‘satdan paydo bo‘ladigan oynalarga ishonmang.
  • Google Play Protect funksiyasini faol holatda saqlang.