Cyfirma’daki araştırmacılar, ele geçirilen cihazlardan hassas verileri çalabilen Android Truva Atlarını araştırdı. Kötü amaçlı yazılım, haber okuyucu ve hatta dijital kimlik uygulamaları gibi güvenilir uygulamalar gibi davranarak kullanıcıları yanlışlıkla indirmeleri için kandırarak yayılır.
Gerçekte, bankacılık ve kripto para birimi uygulamalarını kullanan kişileri hedef alan, Android’i hedefleyen kötü amaçlı yazılımdır. Ve sinsi bir tane. Kurulduktan sonra hiçbir şekilde kendini duyurmaz, ancak arka planda sessizce çalışarak giriş bilgileri ve para gibi bilgileri çalar.
İlk olarak, tespit edilmekten kaçınmak için gerçek bir telefonda mı yoksa bir güvenlik testi sisteminde mi çalıştığını kontrol ediyor. Ardından, kullanıcılardan “Erişilebilirlik Hizmetleri” adı verilen özel izinler istiyor ve bunların uygulamanın iyileştirilmesine yardımcı olduğunu iddia ediyor, ancak aslında kötü amaçlı yazılıma, sahibin haberi olmadan cihaz üzerinde kontrol sağlıyor. Ayrıca kendisini Cihaz Yöneticisi uygulaması olarak ekler.
Bu izinlerle Truva Atı ekrandakileri okuyabilir, düğmelere dokunabilir ve kullanıcıymış gibi formları doldurabilir. Ayrıca gerçek bankacılık ve kripto para uygulamalarının üzerine sahte giriş ekranları yerleştirir, böylece birisi kullanıcı adını ve şifresini girdiğinde kötü amaçlı yazılım bunları çalar.
Basitçe söylemek gerekirse, Android yer paylaşımı özelliği, bir uygulamanın başka bir uygulamanın üstünde görünmesine olanak tanır. Yasal uygulamalar, geçerli ekrandan ayrılmadan mesajları veya uyarıları (Messenger’daki Android sohbet balonları gibi) göstermek için kaplamaları kullanır.
Truva atı, uzak bir komuta merkezine bağlanarak telefon, konumu ve hangi bankacılık uygulamalarının yüklü olduğu hakkında bilgi gönderir. Bu noktada saldırganlar, kötü amaçlı yazılıma daha iyi gizlemek için güncellemeleri indirmek veya etkinliğinin izlerini silmek gibi yeni talimatlar gönderebilir. Truva atı çalışır çalışmaz bildirimleri ve sesleri de susturur, böylece kullanıcılar olağandışı hiçbir şeyi fark etmez.
Ana risk finansal kayıptır: Siber suçlular bankacılık kimlik bilgilerine veya kripto para birimi cüzdan kodlarına sahip olduklarında, hiçbir uyarıda bulunmadan para veya varlıkları çalabilirler. Şu anda kötü amaçlı yazılım Güneydoğu Asya’daki bankacılık kullanıcılarını hedef alıyor ancak kullandığı teknikler her yere yayılabilir.
Ödemeler ve önemli görevler için telefonlarımıza daha fazla güvendikçe, mobil cihazlarımızın da dizüstü bilgisayarlarımızdan beklediğimiz düzeyde korumaya ihtiyaç duyduğu açıktır.
Android için Malwarebytes, bu bankacılık Truva atlarını Android/Trojan.Spy.Banker.AUR9b9b491bC44 olarak algılar.
Nasıl güvende kalınır?
- Güvenilir kaynaklara sadık kalın. Uygulamaları (özellikle VPN’leri ve akış hizmetlerini) yalnızca Google Play’den, Apple’ın App Store’undan veya resmi sağlayıcıdan indirin. Bir forumdaki veya mesajdaki bir bağlantı kısayol vaat ediyor diye asla bir şey yüklemeyin.
- Bir uygulamanın izinlerini kontrol edin. Bir uygulama cihazınız, ayarlarınız, Erişilebilirlik Hizmetleriniz üzerinde kontrol sahibi olmak isterse veya başka uygulamalar yüklemek isterse durun ve kendinize bunun nedenini sorun. Yapmasını beklediğiniz şeyi yapmak için gerçekten bu izinlere ihtiyacı var mı?
- Katmanlı, güncel korumayı kullanın. Android’inize, yeni indirmeleri ve şüpheli etkinlikleri tarayan gerçek zamanlı kötü amaçlı yazılımdan koruma korumasını yükleyin. Hem güvenlik yazılımınızı hem de cihaz sisteminizi güncel tutun; yamalar, saldırganların yararlanabileceği güvenlik açıklarını giderir.
- Haberdar olun. Güvenilir siber güvenlik haberlerini takip edin ve önemli uyarıları arkadaşlarınız ve ailenizle paylaşın.
Uzlaşma göstergeleri
Dosya adı: IdentitasKependudukanDigital.apk
SHA-256: cb25b1664a856f0c3e71a318f3e35eef8b331e047acaf8c53320439c3c23ef7c
Dosya adı: identitaskependukandigital.apk
SHA256:19456fbe07ae3d5dc4a493bac27921b02fc75eaa02009a27ab1c6f52d0627423
Dosya adı: identitaskependukandigital.apk
SHA-256: a4126a8863d4ff43f4178119336fa25c0c092d56c46c633dc73e7fc00b4d0a07
Yalnızca telefon güvenliği hakkında rapor vermiyoruz; bunu sağlıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. iOS için Malwarebytes’i ve Android için Malwarebytes’i bugün indirerek tehditleri mobil cihazlarınızdan uzak tutun.