Finlandiya Ulaştırma ve İletişim Ajansı (Traficom), çevrimiçi banka hesaplarını ihlal etmeye çalışan, devam eden bir Android kötü amaçlı yazılım kampanyası hakkında uyarıda bulunuyor.
Ajans, alıcılara bir numarayı arama talimatı veren Fince yazılmış çok sayıda SMS mesajı vakasını vurguladı. Aramayı yanıtlayan dolandırıcı, kurbanlara koruma için bir McAfee uygulaması yüklemeleri talimatını verir.
Mesajların bankalardan veya MobilePay gibi ödeme hizmeti sağlayıcılarından gönderildiği iddia ediliyor ve sanki yerel bir telekom operatöründen veya yerel ağdan geliyormuş gibi görünmek için sahtekarlık teknolojisini kullanıyorlar.
Ancak McAfee uygulaması, tehdit aktörlerinin kurbanın banka hesaplarına sızmasına olanak tanıyan bir kötü amaçlı yazılımdır.
Bildiride, “Siber Güvenlik Merkezi’nin aldığı raporlara göre, hedeflerin McAfee uygulamasını indirmeleri teşvik ediliyor” deniyor. (makine tercümesi)
“İndirme bağlantısı, Android cihazlar için uygulama mağazası dışında barındırılan bir .apk uygulaması sunuyor. Ancak bu, antivirüs yazılımı değil, telefona yüklenecek kötü amaçlı yazılımdır.”
Ülkedeki önemli bir finansal hizmet sağlayıcısı olan OP Finans Grubu da web sitesinde bankaların veya ulusal yetkililerin kimliğine bürünen aldatıcı mesajlar hakkında bir uyarı yayınladı.
Polis ayrıca tehdidin altını çizdi ve kötü amaçlı yazılımın operatörlerinin kurbanın banka hesabına giriş yapmasına ve para transferi yapmasına olanak sağladığı uyarısında bulundu. Bir vakada mağdur 95.000 euro (102.000 dolar) kaybetti.
Traficom, kampanyanın yalnızca Android cihazları hedeflediğini ve Apple iPhone kullanıcıları için ayrı bir enfeksiyon zincirinin bulunmadığını söylüyor.
Vultur truva atından şüpheleniliyor
Finlandiya’daki yetkililer kötü amaçlı yazılımın türünü belirlememiş ve APK dosyaları için herhangi bir karma veya kimlik paylaşmamış olsa da, saldırılar Fox-IT analistlerinin yakın zamanda Vultur truva atının yeni bir sürümüyle bağlantılı olarak rapor ettiği saldırılara benziyor.
Yeni Vultur sürümü, hibrit smishing ve telefon görüşmesi saldırıları kullanarak hedefleri sahte bir McAfee Security uygulamasını indirmeye ikna etmek için yakın zamanda dolaşıma girdi. Bu uygulama, kaçınma için son yükü üç ayrı parça halinde sunuyor.
En yeni özellikleri arasında kapsamlı dosya yönetimi işlemleri, Erişilebilirlik Hizmetlerinin kötüye kullanılması, belirli uygulamaların cihazda çalıştırılmasının engellenmesi, Keyguard’ın devre dışı bırakılması ve durum çubuğunda özel bildirimler sunulması yer alır.
Kötü amaçlı yazılımı yüklediyseniz, koruma önlemlerini etkinleştirmek ve virüslü Android cihazdaki tüm verileri ve uygulamaları silmek için “fabrika ayarlarını” geri yüklemek için derhal bankanızla iletişime geçmelisiniz.
OP, müşterilerden ödeme alabilmek veya iptal edebilmek için telefon üzerinden herhangi bir hassas veriyi paylaşmalarını veya herhangi bir uygulamayı yüklemelerini istemediklerini, dolayısıyla benzer taleplerin derhal bankanın müşteri hizmetlerine ve polise bildirilmesi gerektiğini söylüyor.
Google daha önce BleepingComputer’a, Android’in yerleşik kötü amaçlı yazılımdan koruma aracı Play Protect’in Vultur’un bilinen sürümlerine karşı otomatik olarak koruma sağladığını doğrulamıştı, bu nedenle onu her zaman aktif tutmak çok önemli.