Bankbot, kredi kartı bilgilerinizi çalmayı hedefliyor

Bankbot, kredi kartı bilgilerinizi çalmayı hedefliyor
Eylül 28 11:23 2017 Yazıyı Yazdır

Bankbot, uzaktan kontrol edilen ve mobil alışveriş ile bankacılık müşterilerini hedef alan bir Android truva atıdır. İlk kez bu yılın başında ortaya çıktı ve alınan önlemlerle önemli ölçüde püskürtüldü ancak son tespitler, Bankbot’un gizli şekilde tekrar Google Play‘e döndüğünü ve bu kez yem olarak online oyunları kullandığını gösteriyor.

Antivirüs yazılım kuruluşu ESET, global düzeyde yeniden ortaya çıkan Bankbot truva atı ile ilgili uyarıda bulunuyor. Bankbot, telefon ve tabletler üzerinden mobil bankacılık ve mobil alışveriş yapan kullanıcıların oturum açma bilgilerine ulaşmaya çalışıyor. Ancak bu kez yeni hileleri deneyerek. Sözkonusu truva atı “geliştirilmiş kod kandırma”, “sofistike yük bırakma işlevselliği” ve “Android’in erişilebilirlik hizmetini kötüye kullanan enfeksiyon mekanizması” gibi yeni yeteneklere sahip.

Daha önce film izleyenleri avlıyordu, bu kez oyun oynayanları

Bankbot, önceki versiyonlarında telefon üzerinden film izlemek isteyenleri, sahte bir Flash Player uygulamasına yönlendiriyor, böylece zararlı yazılım yükletiyordu. Bu kez ise Google Play’de, Jewels Star Classic adlı oyuna sızarak hedefine ulaşmaya çalışıyor.

Yapılan uyarı üzerine Google‘ın güvenlik ekibi, zararlı uygulamayı Google Play mağazasından çıkardı. Ancak çıkarmadan önce 5 bin kullanıcı tarafından yüklendiği tespit edildi. Bununla birlikte ESET, sözkonusu Bankbot versiyonunu Android/Spy.Banker.LA olarak etiketlediğini duyurdu.

Ayarlanmış gecikmeye sahip zararlı yazılım nasıl çalışıyor?

Kullanıcı, Jewels Star Classic oyununu standart biçimde cihazına indiriyor. Bu sırada oyun kaynaklarının içinde gizlenmiş bankacılık zararlı yazılımı da geliyor. Zararlı yazılım ayarlanmış gecikme ile tetikleniyor ve oyunun ilk çalıştırılmasından 20 dakika sonra devreye giriyor. Etkilenen cihaz, oyundan bağımsız olarak, kullanıcıdan “Google Hizmeti” adlı bir öğeyi etkinleştirmesini talep ediyor.

Tamam ya da evet dedikçe ve adımları izleyip izin verdikçe; zararlı yazılım devreye giriyor ve şu görevleri yapıyor:

  • Bankbot’u yükleyip başlatıyor.
  • Bankbot için cihaz yöneticisini etkinleştiriyor.
  • Bankbot’u varsayılan SMS mesajlaşma uygulaması olarak ayarlıyor.
  • Diğer uygulamaları iptal etme izni alıyor.
Ana hedef kredi kartı bilgileri

Bu görevler tamamlandıktan sonra, kötü amaçlı yazılım bir sonraki hedefi doğrultusunda çalışmaya başlıyor: Kurbanın kredi kartı bilgilerini çalmak. Kullanıcı Google Play uygulamasını başlattığında, Bankbot devreye giriyor ve kullanıcının kredi kartı ayrıntılarını isteyen sahte bir form gösteriyor. Kullanıcı sahte forma aldanır ve kredi kartı bilgilerini girerse, saldırgan hedefine ulaşmış oluyor.

Varsayılan mesajlaşma uygulaması olarak kendisini belirleyen Bankbot bu sayede cihazdan geçen tüm SMS iletişimine erişebiliyor. Bu yöntem, saldırganların bankaların uyguladığı SMS ile yapılan iki faktörlü kimlik doğrulamasını atlamalarına olanak tanıyor.

Bu kadar tehlikeli yapan ne?

ESET Güvenlik Araştırmacısı Lukas Stefanko’nun verdiği bilgiye göre, bu zararlı yazılım dalgasında dolandırıcılar, Google Erişilebilirlik Hizmeti’ni kötüye kullanıyor, Google kimliğine bürünüyor ve Google’ın güvenlik önlemlerinden kaçınmak için zararlı etkinliğin başlamasını geciktiren bir zamanlayıcı kullanıyor. Çeşitli tekniklerin birleştirilmesi, mağdurun tehdidi zamanında tanımlamasını zorlaştırıyor.

Bulaşmış olabilir mi?

Cihazınızı Jewels Star Classic için kontrol etmek, yeterli değil çünkü saldırganlar, Bankbot’un dağıtımı için kullandıkları uygulamaları sıklıkla değiştiriyorlar. Cihazınıza virüs bulaşmış olup olmadığını görmek için aşağıdaki göstergeleri takip etmenizi öneririz:

  • Google Güncelleme” adlı bir uygulamanın varlığı (Ayarlar> Uygulama yöneticisi / Uygulamalar> Google Güncellemede bulunur).
  • Sistem güncellemesi” adlı aktif cihaz yöneticisinin varlığı (Ayarlar> Güvenlik> Cihaz yöneticileri altında bulunur).
  • Google Servisi” uyarısının tekrar tekrar görüntülenmesi.

Sözü edilen göstergelerden herhangi birini bulursanız, cihazınıza bu Bankbot varyantı bulaşmış olabilir.

Virüs bulaşmış cihazı nasıl temizleyebilirim?

Cihazınızı manuel olarak temizlemek için önce “Sistem güncellemesi” için cihaz yöneticisi haklarını devre dışı bırakmanız ve ardından hem “Google Güncelleme” hem de truva atı bulaşmış uygulamayı kaldırmanız gerekecektir.

Bununla birlikte, truva atı bulaşmış uygulamanın hangisi olduğunu bulup enfeksiyona başladığını tespit etmek, zararlı yazılım etkinliğinin 20 dakika geç başlaması ve uygulamanın beklendiği gibi çalışması nedeniyle gerçekten zor. Tüm bileşenleri ile tehdidi algılamak ve kaldırmak için güvenilir bir mobil güvenlik çözümü kullanmanızı öneririz.

daha fazla yazı

Yazar Hakkında

İsmail Saygılı
İsmail Saygılı

1998 yılında bilgisayarla tanışan İsmail Saygılı, 2000 yılından bu yana aktif olarak siber dünyada rol almaktadır. 2010 yılına kadar ki süreçte Black Hat tarafında kendisini geliştirmiştir. Üniversite eğitimini uçak teknolojisi üzerine alan Saygılı, 2010 yılından sonra profesyonel olarak siber güvenlik sektöründe çalışmakta ve bu konuda çeşitli eğitimler de vererek sektöre aranılan personeller kazandırmaktadır. Ayrıca kendi blogunda kişisel bilgi ve tecrübelerini makaleler yazarak okuyucularına aktarıyor.

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.