Hesap ele geçirme sahtekarlığı, son nokta güvenliği, sahtekarlık yönetimi ve siber suç
Yeni varyant, yasal uygulamaları silahlandırmak, verileri gerçek zamanlı olarak çalmak için sanallaştırma kullanır
Prajeet Nair (@prajeaetspeaks) •
18 Haziran 2025
Araştırmacılar, mobil uygulama oturum açma sayfalarını taklit ettiği bilinen bir bankacılık truva atının, gerçek mobil bankacılık uygulamalarını enfekte olmuş akıllı telefonlarda oluşturduğu sanal bir ortama kopyalayıp yapıştırarak bir sonraki seviyeye geçtiğini söyledi.
Ayrıca bakınız: Ondemand | 2024 Kimlik Yardım Insights: 11,9 milyon kullanıcı davranışı riskiniz hakkında ne ortaya koyuyor
Muhtemelen Rusça konuşan “Godfather” Hizmet Olarak Kötü Yazılım Mobil kötü amaçlı yazılım geliştiricileri, uygulamayı, orijinal bankacılık ve kripto para birimi uygulamalarının tam saldırgan kontrolü altında klonlandığı ve yürütüldüğü Android cihazlarda paralel, sanal ortam oluşturmak için yükseltti. Godfather’ın mükemmel olduğu geleneksel kaplama saldırılarının aksine – sanallaştırma hilesi, meşru kullanımdan neredeyse ayırt edilemeyen kesintisiz bir kullanıcı deneyimi sağlar (bkz:: Godfather Android Bankacılık Trojan taklitle çalıyor).
Gerçek finansal uygulamanın sanal ortamda uzaktan kontrol edilmesi, saldırganların giriş bilgileri, finansal işlemler ve kilit ekranı kimlik bilgileri de dahil olmak üzere hassas bilgileri gerçek zamanlı olarak sifonlamalarını sağlar.
Godfather kötü amaçlı yazılım en azından Haziran 2021’den beri çevrimiçi olarak dolaştı. Siber güvenlik firması Aralık 2022’de Truva atının esas olarak Anubis adı verilen eski kötü amaçlı yazılım güncellemesi olduğunu belirledi. Yakın zamana kadar, Godfather, 400 sahte oturum açma sayfasından herhangi birini meşru uygulamalarda kaplayarak, Android uygulama mağazalarında barındırılan tuzak uygulamaları aracılığıyla kurban akıllı telefonlara girerek başarı buldu.
Yükseltilmiş vaftiz babası “Saldırı, mükemmel bir aldatmacaya ulaşarak görsel inceleme ve kullanıcı uyanıklığını nötralize eden tespit etmeyi neredeyse imkansız hale getiriyor” diye yazdı Zimperium.
Kötü amaçlı yazılım, VirtualApp veya Xposed dahil sanallaştırma çerçevelerini kullanan bir “ana bilgisayar” uygulaması yükleyerek başlar. Çerçeveler, kurbanın cihazında gerçek, değiştirilmemiş bankacılık veya kripto uygulamalarının klonlandığı ve yürütüldüğü gizli bir kum havuzu ortamı oluşturur. Kullanıcı arayüzlerini taklit etmek veya taklit etmek yerine, kötü amaçlı yazılım bu sanal kapsayıcının içindeki uygulamayı çalıştırır, böylece tüm görsel ve işlevsel öğeler sağlamdır.
Kötü amaçlı yazılım, kullanıcı etkileşimlerini izlemek ve oturum açma kimlik bilgileri, SMS tabanlı 2FA veya işlem ayrıntıları gibi girişleri yakalamak için Android Erişilebilirlik Hizmetleri kullanır. Java katmanı kancalarını ağ kütüphanelerine enjekte eder OkHttpClient API çağrılarını engellemek için hassas verileri çıkarmak ve hatta uygulama ve sunucuları arasındaki iletişimi değiştirmek. Bu, saldırganların işlemleri gerçek zamanlı olarak manipüle etmelerini sağlar.
Godfather’ın komut ve kontrol özellikleri, açma ayarları, sahte kilit ekranlarının kaplanması ve jestler gerçekleştirme dahil olmak üzere enfekte olmuş cihazların uzaktan kumandasını da sağlar. Kötü amaçlı yazılım, girdi enjekte etmek ve varlığının göstergelerini bastırmak için erişilebilirlik hizmetlerini kullanır ve bugüne kadarki en aldatıcı Android kötü amaçlı yazılım varyantları arasında yer alır.
Zimperium araştırmacıları Fernando Ortega ve Vishnu Pratapagiri’ye göre, yeni vaftiz babası “mobil tehdit yeteneklerinde önemli bir sıçrama, geleneksel kaplamaların ötesine daha aldatıcı ve etkili bir saldırı biçimine geçiyor.”
Mevcut kampanya, 12 Türk bankasına odaklanarak küresel olarak yaklaşık 500 uygulamayı hedefliyor. Hedeflenen uygulamalar fintech, sosyal medya, e-ticaret ve kripto platformlarını kapsar.