Dikkat: 22 Türk bankasının müşterileri siber saldırıya hedef oldu

Yakın zamanda Google Play Store’dan Good Weather isimli bir hava durumu uygulaması indirdiyseniz, havalar sizin için pek güzel olmayabilir.

Android işletim sisteminin Google tarafından işletilen uygulama mağazasında, kendisini bir hava durumu uygulaması gibi gösteren kötü amaçlı yazılım tespit edildi. Bu kötü amaçlı yazılım, ekran kilitleme kapasitesine de sahip ve hedef aldığı Android kullanıcılarının özellikle banka bilgilerini çalıyor. Ve söz konusu kötücül yazılımım hedefleri arasında 22 Türk bankasına ait mobil uygulama da bulunuyor.

Yeni tespit edilen bu kötü amaçlı bankacılık yazılımı, ESET firması tarafından bulundu ve “Trojan.Android/Spy.Banker.HU” adını taşıyor. Kötü amaçlı yazılımın, bir diğer yararlı hava durumu uygulaması olan Good Weather uygulamasının trojanlanmış versiyonu veya kopyası olduğu belirtiliyor.

Zararlı yazılım, Google’ın güvenlik mekanizmasını bir şekilde atlatmayı başarmış ve 4 Şubat tarihinde Google Play Store’dan kullanıma sunulmuş. Ancak bundan iki gün sonra, ESET tarafından tespit edilmesinin ardından uygulama mağazasından kaldırılmış. Uygulamanın bu kısa süre içerisinde 5 binden fazla kullanıcıyı etkilemiş olabileceği tahmin ediliyor.

Orijinal ve yasal Good Weather uygulamasından kopyaladığı fonksiyonlarının yanı sıra bu uygulamanın içerisindeki trojan, etkilediği cihazları uzaktan kilitleyebiliyor ve SMS’lere müdahale edebiliyor. Bunu yapmanın yanı sıra bu trojan, 22 Türk bankasının mobil uygulamalarını kullananları da hedef almış. Bu kullanıcıların bilgileri de sahte giriş formları kullanılarak ele geçirilmiş.

Kötü Amaçlı Yazılım Nasıl Çalışıyor?

Uygulama, masum bir kullanıcı tarafından yüklendikten sonra, hava durumu temalı uygulama simgesi uygulama simgeleri arasından kayboluyor. Virüs bulaşmış cihazda daha sonra “Sistem güncellemesi” adına aygıt yönetici haklarını isteyen sahte bir sistem ekranı görüntüleniyor. Bu hakları etkinleştiren kurban, kötü amaçlı yazılımın ekran kilidini açma parolasını değiştirmesine ve ekranı kilitlemesine izin veriyor.

Yükleme sırasında elde edilen kısa mesajlara müdahale izniyle birlikte, trojan artık kötü amaçlı çalışmasına başlamaya hazır hale geliyor.

Bu noktada endişe duymayan kullanıcılar, ana ekranlarına ekleyebilecekleri yeni hava widget’ından memnun kalabilirler. Ancak kötü amaçlı yazılım arka planda C & C sunucusu ile cihaz bilgisini paylaşmaya çalışıyor.

Karşılık geldiği komuta bağlı olarak, alınan metin mesajlarına müdahale ediyor ve mesajları sunucuya gönderiyor, saldırganların kendi seçtikleri bir kilit ekran şifresi belirleyerek cihazı uzaktan kilitliyor ve kilidini açıyor ve bankacılık kimlik bilgilerini topluyor.

Trojan, kullanıcı hedef alınan bankacılık uygulamalarından birini çalıştırdığında sahte bir giriş ekranı gösteriyor ve girilen verileri saldırgana gönderiyor. Kurbanların kısa mesajlara müdahale edilmesine verdiği izin sayesinde, kötü amaçlı yazılım SMS tabanlı iki faktörlü kimlik doğrulamayı geçebiliyor.

İlgili haber >> Türkiye sınırında Gozi hayaleti dolaşıyor

Cihaz kilitlemesi konusunda, arkadaki sahtekârlık aktivitesini kullanıcıdan gizlemek için, bu fonksiyonun ele geçirilen banka hesaplarını değiştirirken resim girdiğinden şüpheleniyoruz. Cihazları bir kez kilitlendiğinde, kurbanların tek yapabilecekleri şey, kötü amaçlı yazılım cihazın kilidini açma komutu verene kadar beklemek.

Hangi Türk Bankaları Etkilendi?

Bu kötü amaçlı yazılım tarafından hedef alınan Türk bankalarının mobil uygulamalarının isimleri şu şekilde:

com.garanti.cepsubesi

com.garanti.cepbank

com.pozitron.iscep

com.softtech.isbankasi

com.teb

com.akbank.android.apps.akbank_direkt

com.akbank.softotp

com.akbank.android.apps.akbank_direkt_tablet

com.ykb.androidtablet

com.ykb.android.mobilonay

com.finansbank.mobile.cepsube

finansbank.enpara

com.tmobtech.halkbank

biz.mobinex.android.apps.cep_sifrematik

com.vakifbank.mobile

com.ingbanktr.ingmobil

com.tmob.denizbank

tr.com.sekerbilisim.mbank

com.ziraat.ziraatmobil

com.intertech.mobilemoneytransfer.activity

com.kuveytturk.mobil

com.magiclick.odeabank

Cihazım Etkilendi mi? Nasıl Temizleyebilirim?

Google Play Store’dan yakın zamanda bu hava durumu uygulamasını yüklediyseniz, bu banka trojanının kurbanlarından biri olup olmadığınızı kontrol etmek isteyebilirsiniz.

Good Weather adlı uygulamayı indirmiş olabileceğini düşünüyorsanız, uygulamalarınız arasında simgesi olup olmadığını kontrol edin. Resim 3’teki sarı simgeyi görüyor musunuz? O zaman uygulamanız güvenli. Herhangi bir simge bulamıyorsunuz ve uygulama yalnızca bir widget olarak mı çalışıyor? O zaman şurada arama yapın: Ayarlar -> Uygulama Yöneticisi. Uygulamayı yanda gösterildiği gibi Uygulama Yöneticinizde mavi simgesiyle bulduysanız, kötü amaçlı Good Weather taklidini indirmişsiniz demektir.

Cihazınızı temizlemek için ESET Mobile Security gibi tanınmış bir mobil güvenlik çözümüne geçebilir veya zararlı yazılımları manuel olarak kaldırabilirsiniz.

 

 

Trojanı manuel olarak kaldırmak için öncelikle Ayarlar -> Güvenlik -> Sistem güncellemesi altında bulunan aygıt yönetici haklarını devre dışı bırakmanız gerekir. Bunu yaptıktan sonra, Ayarlar -> Uygulama Yöneticisi -> Good Weather kötü amaçlı uygulamayı kaldırabilirsiniz.

Nasıl Güvende Olurum?

Uygulamanın trojanlı sürümü mağazadan çekilmiş olduğundan, başlangıçta AsdTm geliştiricisi tarafından Google Play’e gönderilen orijinal Good Weather’ı yüklemek artık güvenli.

Bununla birlikte, meşru uygulamaların kötü amaçlı sahte uygulamaları Play Store’a sızmaya devam ettiği için, bunlardan korunmak için bazı temel ilkeleri uygulamanız iyi olacaktır.

Kusursuz olmasa da, Google Play, kötü amaçlı yazılımları uzak tutmak için gelişmiş güvenlik mekanizmaları kullanıyor. Alternatif uygulama mağazalarında veya bilinmeyen diğer kaynaklarda bu olmayabilir, bu yüzden mümkün olduğunca resmi Google Play mağazasını tercih edin.

Play mağazasından indirirken, yüklemeden veya güncellemeden önce uygulama izinlerini öğrenin. Uygulamayı istediği izinleri otomatik olarak vermek yerine, bunun uygulamanın yanı sıra cihazınız için ne anlama geldiğini düşünün.

Bir şeylerin ters görünüyorsa, diğer kullanıcıların incelemelerinde ne yazdıklarını okuyun ve buna göre indirmek isteyip istemediğinizi tekrar gözden geçirin. Mobil cihazınıza yüklediğiniz herhangi bir şeyi çalıştırdıktan sonra, hangi izinlere ve yetkileri talep ettiğine dikkat edin.

Asıl işleviyle ilgisi olmayan gelişmiş izinler olmadan çalışmayacak bir uygulama, belki de telefonunuzda istemediğiniz bir uygulama olabilir. Son olarak, hepsi bir şekilde başarısız olsa bile, saygın bir mobil güvenlik çözümü, cihazınızı etkin tehditlere karşı koruyacaktır.

Siber Bülten abone listesinie kaydolmak için formu doldurunuz

[wysija_form id=”2″]

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d blogcu bunu beğendi: