Global antivirüs yazılım kuruluşu ESET, sahte burç
uygulamaları yoluyla mobil bankacılık müşterilerini hedef alan yeni bir zararlı
yazılım tespit etti. Sözkonusu zararlı truva atı ile enfekte olmuş 29 uygulama,
Google Play mağazasından global çapta 30 bin kez indirildi. Uygulama, yıldız
falı sunma vaadiyle kullanıcıların bankacılık bilgilerini ele geçirmeye
odaklanıyor.
Gizlenmiş mobil bankacılık truva atları, Google Play
mağazasına yerleşerek Android kullanıcılarını hedef alıyor. ESET Güvenlik
Araştırmacısı Lukas Stefanko’nun tespitlerine göre, söz konusu bankacılık truva
atları, ağırlıklı olarak yıldız falı (horoscope) aplikasyonlarının yanı sıra
cihaz güçlendirici, temizleyici ve pil yönetimi uygulamalarının dahil olduğu
toplam 29 aplikasyonda yer alıyor.
ESET araştırmacılarının Google'ı bilgilendirmesinden sonra
bu 29 kötü amaçlı uygulamanın tümü resmi Android mağazasından kaldırıldı. Ancak
veriler, mağazadan kaldırılmadan önce söz konusu uygulamaların yaklaşık 30
binkullanıcı tarafından yüklendiğini gösteriyor.
Nasıl çalışıyorlar?
ESET’in “Android/TrojanDropper.Agent.CIQ“ olarak
etiketlediği söz konusu zararlı yazılım içeren uygulamalar bir kez
başlatıldıklarında, genellikle kurbanın cihazıyla uyumsuz oldukları
gerekçesiyle kaldırıldıklarını iddia eden bir hata veriyor. Böylece kendilerini
kurbanın görüşünden gizlemeye çalışıyorlar. Ya da örneğin burçları görüntülemek
gibi söz verilen işlevi sunmaya devam ediyorlar.
Her biçimde de, esas amaçlı işlevler, her uygulamanın
içerisinde bulunan şifreli yük birimlerinde gizlenir. ESET’in analiz ettiği
uygulamalardan bazıları, birden fazla şifrelenmiş yük birimi içermekteydi.
Tespit edilen son yük biriminin işlevi ise kurbanın cihazında yüklü olan
bankacılık uygulamalarını taklit etmek, SMS mesajlarına müdahale ederek
göndermek ve operatörün kendi belirlediği ek uygulamaları indirerek yüklemek
biçiminde oluşuyor.
Bankacılık uygulamasını taklit ediyor
En önemli özellik, kötü amaçlı yazılımın güvenliği ihlal
edilmiş bir cihazda yüklü olan herhangi bir uygulamayı dinamik olarak taklit
edebilmesidir. Bu, cihaza yüklenen uygulamaların HTML kodunu elde ederek meşru
uygulamaların başlatılmasından sonra meşru uygulamalarla sahte uygulamaları
benzeştirmek için bu kodun kullanılması yoluyla elde edilir ve kurbanın tüm
bunları fark etme şansı çok azdır.
Nasıl güvende kalınır?
“Belirli bankacılık truva atları, etkilenen cihazlarda
süreklilik sağlamak için gelişmiş yöntemler kullanmaz“ diyen ESET Güvenlik
Arastırmacısı Lukas Stefanko, “Bu nedenle, söz konusu uygulamalardan herhangi
birini yüklediyseniz, bunları Ayarlar > (Genel) > Uygulama Yöneticisi /
Uygulamalar bölümünden kaldırabilirsiniz. Ayrıca şüpheli işlemlere yönelik
olarak banka hesabınızı kontrol etmenizi, internet bankacılığı şifrenizi/PIN
kodunuzu değiştirmenizi öneriyoruz“ açıklamasını yaptı. Lukas Stefanko,
bankacılık zararlı yazılımlarına hedef olmamanız için ayrıca şu tavsiyelerde
bulundu:
