Dikkat! Uzaktan kontrol edilen ve mobil alışveriş ile bankacılık müşterilerini hedef alan Bankbot bir android truva atı ve kredi kartı bilgilerinizi çalmak için yazıldı!
Antivirüs yazılım kuruluşu ESET, global düzeyde yeniden ortaya çıkan Bankbot truva atı ile ilgili uyarıda bulunuyor. Bankbot, telefon ve tabletler üzerinden mobil bankacılık ve mobil alışveriş yapan kullanıcıların oturum açma bilgilerine ulaşmaya çalışıyor. Ancak bu kez yeni hileleri deneyerek. Söz konusu truva atı “geliştirilmiş kod kandırma”, “sofistike yük bırakma işlevselliği” ve “Android’in erişilebilirlik hizmetini kötüye kullanan enfeksiyon mekanizması” gibi yeni yeteneklere sahip.
Bankbot, önceki versiyonlarında telefon üzerinden film izlemek isteyenleri, sahte bir Flash Player uygulamasına yönlendiriyor, böylece zararlı yazılım yükletiyordu. Bu kez ise Google Play’de, Jewels Star Classic adlı oyuna sızarak hedefine ulaşmaya çalışıyor.
Kullanıcı, Jewels Star Classic oyununu standart biçimde cihazına indiriyor. Bu sırada oyun kaynaklarının içinde gizlenmiş bankacılık zararlı yazılımı da geliyor. Zararlı yazılım ayarlanmış gecikme ile tetikleniyor ve oyunun ilk çalıştırılmasından 20 dakika sonra devreye giriyor. Etkilenen cihaz, oyundan bağımsız olarak, kullanıcıdan “Google Hizmeti” adlı bir öğeyi etkinleştirmesini talep ediyor.
Tamam ya da evet dedikçe ve adımları izleyip izin verdikçe; zararlı yazılım devreye giriyor ve şu görevleri yapıyor:
- Bankbot’u yükleyip başlatıyor.
- Bankbot için cihaz yöneticisini etkinleştiriyor.
- Bankbot’u varsayılan SMS mesajlaşma uygulaması olarak ayarlıyor.
- Diğer uygulamaları iptal etme izni alıyor.
Büyük hırsız Bankbot: Kredi kartlarınız benim!
Bu görevler tamamlandıktan sonra, kötü amaçlı yazılım bir sonraki hedefi doğrultusunda çalışmaya başlayor: Kurbanın kredi kartı bilgilerini çalmak. Kullanıcı Google Play uygulamasını başlattığında, Bankbot devreye giriyor ve kullanıcının kredi kartı ayrıntılarını isteyen sahte bir form gösteriyor. Kullanıcı sahte forma aldanır ve kredi kartı bilgilerini girerse, saldırgan hedefine ulaşmış oluyor.
Varsayılan mesajlaşma uygulaması olarak kendisini belirleyen Bankbot bu sayede cihazdan geçen tüm SMS iletişimine erişebiliyor. Bu yöntem, saldırganların bankaların uyguladığı SMS ile yapılan iki faktörlü kimlik doğrulamasını atlamalarına olanak tanıyor.
ESET Güvenlik Araştırmacısı Lukas Stefanko’nun verdiği bilgiye göre, bu zararlı yazılım dalgasında dolandırıcılar, Google Erişilebilirlik Hizmetini kötüye kullanıyor, Google kimliğine bürünüyor ve Google’ın güvenlik önlemlerinden kaçınmak için zararlı etkinliğin başlamasını geciktiren bir zamanlayıcı kullanıyor. Çeşitli tekniklerin birleştirilmesi, mağdurun tehdidi zamanında tanımlamasını zorlaştırıyor.
Cihazınızı Jewels Star Classic için kontrol etmek, yeterli değil çünkü saldırganlar, Bankbot’un dağıtımı için kullandıkları uygulamaları sıklıkla değiştiriyorlar. Cihazınıza virüs bulaşmış olup olmadığını görmek için aşağıdaki göstergeleri takip etmenizi öneririz:
“Google Güncelleme” adlı bir uygulamanın varlığı (Ayarlar> Uygulama yöneticisi / Uygulamalar> Google Güncellemede bulunur). “Sistem güncellemesi” adlı aktif cihaz yöneticisinin varlığı (Ayarlar> Güvenlik> Cihaz yöneticileri altında bulunur). “Google Servisi” uyarısının tekrar tekrar görüntülenmesi. Sözü edilen göstergelerden herhangi birini bulursanız, cihazınıza bu Bankbot varyantı bulaşmış olabilir.
Yorum bırakın