Son haftalarda ortalığı kasıp kavuran gelişmiş bir Android bankacılık Truva atı olan Herodotus, mobil bankacılık ortamında yeni bir tehdit ortaya çıktı.
Kötü şöhretli Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) modeli altında sunulan Herodotus, sosyal mühendislik ve teknik aldatmacadan yararlanarak geleneksel antivirüs çözümlerinin tespitinden kaçınıyor ve kullanıcıların finansal verilerini ciddi riske atıyor.
Herodot, mağdurlara öncelikle meşru uyarılar veya hizmet mesajları gibi görünen SMS kimlik avı kampanyaları aracılığıyla hitap etti.
Şüphelenmeyen kullanıcılar, kendilerini resmi Play Store’un güvenli ortamı dışında gerçekleştirilen bir işlem olan APK’yı indirmeleri talimatını veren sahte bir web sayfasına yönlendiren bağlantılar alır. Bu mağaza dışı kurulumun kendisi büyük bir tehlike işaretidir, ancak birçok geleneksel savunma tarafından tespit edilmemektedir.
Kurulduktan sonra Herodot, en önemlisi güçlü Erişilebilirlik izni olmak üzere bir dizi kritik cihaz iznini hemen talep eder.
Bu yükseltilmiş erişim sayesinde, kötü amaçlı yazılım, orijinal bankacılık uygulamalarının üzerine ikna edici sahte ekranlar yerleştirerek hem ekran verilerini hem de kullanıcı tarafından girilen tüm tuş vuruşlarını yakalar.
Bu, Truva Atı’nın oturum devralma saldırıları gerçekleştirmesine ve kurban oturum açmış durumdayken bankacılık işlemlerini gerçek zamanlı olarak gizlice düzenlemesine olanak tanır.
Dolandırıcılığı önleme ve tespit mekanizmalarından kaçınmak için Herodot, “insanlaştırılmış” desenler, rastgele gecikmeler, ince hareketler ve gerçekçi yazma simülasyonları sunar.
Bu davranışlar, otomasyon parmak izlerini neredeyse görünmez hale getirerek eski tespit sistemlerinin kötü amaçlı etkinlikleri tespit etmesini son derece zorlaştırır.
Antivirüs Neden Tek Başına Yeterli Değil?
Antivirüs motorlarının sınırlamaları Pradeo ekibinin araştırmasının ardından ortaya çıktı. Birincil bir antivirüs sağlayıcısı, temel çevrimiçi aramaların tehdidi tespit etmesine rağmen Herodot APK’sı için uyarıları tetikleyemedi.
Temel neden, antivirüs çözümlerinin genel olarak nasıl çalıştığında yatmaktadır: imza tabanlı ve davranış odaklı veritabanları, bilinen tehditlerle sınırlıdır.
Play Store dışı kaynaklardan indirilen kötü amaçlı uygulamalar, özellikle de zararlı davranışları yalnızca kurulum ve izin onayından sonra etkinleşiyorsa, sıklıkla tespit edilemiyor.
Herodot senaryosunda, saldırı yalnızca şüpheli SMS bağlantıları, üçüncü taraf uygulama yüklemeleri, hassas izin talepleri, ekran kaplamaları ve simüle edilmiş etkileşimlerin göstergelerinin zincirlenmesiyle güvenilir bir şekilde tanımlanabilir.
Her bir sinyal zararsız görünebilir, ancak bunların sırası açıkça aktif bir uzlaşmaya işaret ediyor ve bu da bağımsız antivirüs çözümlerinin neden bu tür gelişmiş tehditleri sürekli olarak gözden kaçırdığını gösteriyor.
Pradeo Mobil Tehdit Savunması
Modern koruma, çok katmanlı savunma mekanizmalarını gerektirir. Pradeo’nun Mobil Tehdit Savunması (MTD) çözümü, cihaz davranışını sürekli olarak izlemesi ve saldırıları her aşamada engellemesiyle öne çıkıyor.
Herodot’un kampanyası, mobil güvenlik ekipleri için çok önemli bir gerçeğin altını çiziyor: Antivirüs yazılımı, özellikle saldırılar sosyal mühendislik, pazar dışı yazılım ve cihaz izinlerinin kötüye kullanılmasının birleşiminden yararlandığında, günümüzün gelişen tehdit ortamına ayak uyduramaz.
Kimlik avı bağlantıları, Pradeo’nun kimlik avı önleme modülü tarafından proaktif olarak engellenir ve kullanıcıların kötü amaçlı indirme sayfalarına erişmesi engellenir.
Riskli bir mağaza dışı kurulum girişiminde bulunulması durumunda Pradeo MTD, bilinmeyen kaynağı anında tespit eder ve güvenlik personelini tehlikeye girmeden önce müdahale etmesi konusunda uyarır.
Çözümün hassas izinlere yönelik tüm uygulama isteklerini izlemesi çok önemlidir. Erişilebilirlik veya benzeri kritik kontroller isteyen herhangi bir uygulama derhal işaretlenir ve karantinaya alınır, böylece saldırı daha fazla büyümeden etkisiz hale getirilir.
Pradeo ayrıca katmanları tespit ederek, simüle edilmiş etkileşimleri izleyerek ve şüpheli davranışlara bağlı ağ etkinliğini durdurarak kullanıcı arayüzü anormalliklerini de gözetliyor. Hassas uygulamalar ilk tehlike işaretinde anında korunur.
Kurumsal kullanıcıları ve hassas verileri korumak için özel bir Mobil Tehdit Savunması (MTD) çözümünün dağıtılması artık siber güvenlikte gerekli bir standarttır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.