Truva atlı Craftsart Cartoon Photo Tools uygulaması resmi Android uygulama mağazası Google Play Store‘da mevcuttur. Ancak aslında kurbanların sosyal medya hesaplarından her türlü bilgiyi çalabilen bir casus yazılımdır.
Resmi Google Play mağazasında “Craftsart Cartoon Photo Tools” adlı popüler bir mobil uygulama 100.000’den fazla yükleme gerçekleştirdi. Ancak ne yazık ki uygulamanın meraklıları için Facestealer Android kötü amaçlı yazılımının bir sürümünü içeriyor.
Google Play Store’da Yer Alan Fotoğraf Uygulamasında Yer Alıyor
Bu, uygulamanın söz verildiği gibi çalıştığını söyleyen Pradeo’daki araştırmacılara göre, meşru bir fotoğraf düzenleme aracı gibi görünüyor. Spesifik olarak, kullanıcıların birkaç farklı filtre kullanarak fotoğrafları çizgi film veya “resim” tarzı sürümlere dönüştürmesine izin verdiğini iddia ediyor. Bununla birlikte, bu maskenin arkasında “mağazanın güvenlik önlemlerinin radarının altından kolayca kayan küçük bir [kötü amaçlı] kod parçası” olduğunu açıkladılar.
Facebook Hesap Bilgilerini Çalıyorlar
Facestealer, geçmişte trojanlı uygulamalar aracılığıyla Google Play’e girmiş, bilinen bir Android tehdididir. Geçmişteki Malwarebytes analizine göre, uygulama ilk başlatıldığında, kullanıcıyı meşru ana Facebook giriş sayfasına yönlendirir ve kullanıcılardan uygulamayı kullanmadan önce giriş yapmalarını ister. Ardından, firmaya göre “enjekte edilen kötü amaçlı JavaScript, oturum açma kimlik bilgilerini çalar ve bunları bir komuta ve kontrol sunucusuna gönderir. C2 sunucusu, [hesaba] erişim yetkisi vermek için oturum açma kimlik bilgilerini kullanır.”
Oradan, truva atı veri çalma yarışlarına gidiyor: E-posta adresleri ve IP adresleri, telefon numaraları, konuşmalar ve mesajlaşma geçmişleri, kredi kartı ayrıntıları, arkadaş listeleri ve daha fazlası dahil olmak üzere kurbanların Facebook hesaplarındaki bilgileri kaldırıyor.
Pradeo araştırmacıları Pazartesi günkü bir yazısında, “Bir sosyal medya hesabı için giriş bilgileriniz çalındığında bunun ciddi sonuçları olabilir. Tehdit aktörlerine daha fazla bilgi toplamak için bir temel sağlıyor. Facebook kimlik bilgileri, siber suçlular tarafından hesapları tehlikeye atmak için çeşitli şekillerde kullanılıyor. En yaygın olanı finansal dolandırıcılık yapmak, kimlik avı bağlantıları göndermek ve sahte haberleri yaymak.” dedi.
Google Android Kullanıcılarını Uyardı, Kötü Amaçlı Yazılım Rusya Kaynaklı
Craftsart Cartoon Photo Tools’un Pradeo analizi, uygulamanın çeşitli kötü amaçlı Android uygulamaları için komut ve kontrol (C2) adresi olarak en az yedi yıldır kullanılan Rusya’da kayıtlı bir alan adına bağlantı kurduğunu buldu.
Pradeo analizi “[Alan], bazı noktalarda Google Play’de bulunan ve daha sonra silinen birden fazla kötü amaçlı mobil uygulamaya bağlı. Google Play’de varlığını sürdürmek için mobil uygulamaları yeniden paketlemek siber suçlular için yaygın bir uygulamadır. Bazen yeniden paketlemenin tamamen otomatikleştirildiği durumları bile gözlemledik.” diye açıkladılar.
Pradeo araştırmacıları, uygulama hakkında Google Play ekibini uyardıklarını, ancak Pazartesi itibariyle resmi mağazada hala mevcut olduğunu söyledi. Google Play kullanıcıları uygulamayı hemen telefonlarından silmeli.