Siber güvenlik şirketi Cleafy, Android cihazları hedef alan ve banka hesaplarını boşaltmak üzere tasarlanmış yeni bir kötü amaçlı yazılım kampanyası konusunda uyarı yayımladı.
Saldırının popüler bir VPN ve korsan yayın uygulaması olarak görünen “Mobdro Pro IP TV + VPN” adındaki sahte uygulama aracılığıyla gerçekleştirildiği belirtildi.
Cleafy’e göre Avrupa’da 3 binden fazla Android cihaz bu zararlı yazılımdan etkilendi.
Euronews'in haberine göre, uygulama, ücretsiz film, dizi ve spor yayınlarına erişim ile VPN hizmeti vaat ederek kullanıcıları kandırıyor.
Ancak uygulamanın içinde “Klopatra” adlandırılan gelişmiş bir kötü amaçlı yazılım yer alıyor.
Klopatra, cihaza tam uzaktan erişim sağlama amacıyla tasarlanmış; ekran içeriğini okumak, kullanıcı adına işlem yapmak ve hassas bilgileri sızdırmak için Android’in “Erişilebilirlik Servisleri” izinlerini kötüye kullanıyor.
Saldırı şu şekilde işliyor: kullanıcı uygulamayı yükledikten sonra Android’in erişilebilirlik ayarlarından bazı izinleri vermeye yönlendiriliyor.
Bu izinler normalde engelli kullanıcıların cihazları daha rahat kullanması için tasarlanmışken, saldırganlar bunlarla ekran üzerindeki girdileri okuyup dinamik olarak komut gönderebiliyor; böylece banka uygulamaları üzerinden işlem yapılabiliyor.
UYGULAMADA TÜRKİYE İZLERİ
Cleafy’in analizinde, kötü amaçlı yazılımın kodu ve kontrol altyapısında (C2 sunucuları) Türkçe izler bulunduğu vurgulandı.
Kod içinde geliştiricilerin bıraktığı fonksiyon/alan adları Türkçe örneğin “ArkaUcKomutIsleyicisi” gibi isimler tespit edildi.
Ayrıca sunuculara gönderilen JSON verilerindeki alan adları da Türkçe (Favori_durumu, Bot_notu) biçimindeydi.
Araştırmacılar, saldırıyı yönetenlerin kontrol panelinden elde edilen “bot_notu” gibi serbest metin alanlarında insan eliyle yazılmış Türkçe notlar buldu.
Bu notlar arasında para transferi girişimlerine dair ifadeler ve hakaret içeren ibareler yer alıyordu; örneğin “7k atılan p*ç şifre z” gibi notların, 7 bin euro civarında transfer denemesi ve cihazdaki ekran kilidi türüne ilişkin bilgi taşıdığı değerlendirildi.
BİN KİŞİ DOLANDIRILMIŞ OLABİLİR
Cleafy saldırının yaklaşık bin doğrudan kurbanı olduğunu tahmin ediyor ve buna rağmen etkilenen cihaz sayısının daha yüksek olduğu ve kampanyanın “başarılı” bulunduğu ifade ediliyor.
Uzmanlar, bu yöntemin diğer suç grupları tarafından da benimsenebileceği konusunda uyarıyor; benzer sahte uygulama kampanyalarının görülmesinin tespit ve analiz süreçlerini zorlaştıracağı belirtiliyor.
Uzmanlar ayrıca, Mobdro Pro IP TV + VPN veya benzeri korsan içerik sunan uygulamaları indirmiş olan kullanıcıların uygulamayı derhal kaldırmalarını ve bankacılık hesaplarında olağandışı hareket olup olmadığını kontrol etmelerini öneriyor.
Şüpheli hareket görmeleri halinde bankalarıyla ve ilgili yetkililerle hemen irtibata geçmeleri, mümkünse cihazı fabrika ayarlarına döndürüp güvendiği bir antivirüs/uzman ile kontrol ettirmeleri tavsiye ediliyor.
Kaynak: Tele1
