Global antivirüs yazılım kuruluşu ESET, sahte burç uygulamaları yoluyla mobil bankacılık müşterilerini hedef alan yeni bir zararlı yazılım tespit etti.
Burcunuzda bugün büyük para çıkışı görünüyor
Söz konusu zararlı truva atı ile enfekte olmuş 29 uygulama, Google Play mağazasından global çapta 30 bin kez indirildi. Uygulama, yıldız falı sunma vaadiyle kullanıcılarınbankacılık bilgilerini ele geçirmeye odaklanıyor.
Gizlenmiş mobil bankacılık truva atları, Google Play mağazasına yerleşerek Android kullanıcılarını hedef alıyor. ESET Güvenlik Araştırmacısı Lukas Stefanko’nun tespitlerine göre, söz konusu bankacılık truva atları, ağırlıklı olarak yıldız falı (horoscope) aplikasyonlarının yanı sıra cihaz güçlendirici, temizleyici ve pil yönetimi uygulamalarının dahil olduğu toplam 29 aplikasyonda yer alıyor.
ESET araştırmacılarının Google’ı bilgilendirmesinden sonra bu 29 kötü amaçlı uygulamanın tümü resmi Android mağazasından kaldırıldı. Ancak veriler, mağazadan kaldırılmadan önce söz konusu uygulamaların yaklaşık 30 binkullanıcı tarafından yüklendiğini gösteriyor.
Nasıl çalışıyorlar?
ESET’in “Android/TrojanDropper.Agent.CIQ“ olarak etiketlediği söz konusu zararlı yazılım içeren uygulamalar bir kez başlatıldıklarında, genellikle kurbanın cihazıyla uyumsuz oldukları gerekçesiyle kaldırıldıklarını iddia eden bir hata veriyor. Böylece kendilerini kurbanın görüşünden gizlemeye çalışıyorlar. Ya da örneğin burçları görüntülemek gibi söz verilen işlevi sunmaya devam ediyorlar.
Her biçimde de, esas amaçlı işlevler, her uygulamanın içerisinde bulunan şifreli yük birimlerinde gizlenir. ESET’in analiz ettiği uygulamalardan bazıları, birden fazla şifrelenmiş yük birimi içermekteydi. Tespit edilen son yük biriminin işlevi ise kurbanın cihazında yüklü olan bankacılık uygulamalarını taklit etmek, SMS mesajlarına müdahale ederek göndermek ve operatörün kendi belirlediği ek uygulamaları indirerek yüklemek biçiminde oluşuyor.
Bankacılık uygulamasını taklit ediyor
En önemli özellik, kötü amaçlı yazılımın güvenliği ihlal edilmiş bir cihazda yüklü olan herhangi bir uygulamayı dinamik olarak taklit edebilmesidir. Bu, cihaza yüklenen uygulamaların HTML kodunu elde ederek meşru uygulamaların başlatılmasından sonra meşru uygulamalarla sahte uygulamaları benzeştirmek için bu kodun kullanılması yoluyla elde edilir ve kurbanın tüm bunları fark etme şansı çok azdır.
