Dikkat! Türkiye’deki Android kullanıcılarını etkileyen oldukça tehlikeli bir virüs tespit edildi: Bankacılık uygulamaları hedefte

Kötü amaçlı yazılımlar hassas bilgilerimizi hedef almaya devam ediyor. Son olarak Godfather isimli Android truva atının son sürümünün, enfekte cihazlarda bir sanal alan (sandbox) kurarak bankacılık ve kripto para uygulamalarını ele geçirdiği konusunda uyarıda bulunuldu.

"TÜRKİYE’DEKİ 12 FARKLI BANKACILIK UYGULAMASI HEDEF ALINDI"

Zimperium’da yayınlanan makaleye göre, kötü amaçlı yazılımın hassas bilgileri çaldığı ve ekran kilidi desenleri, PIN kodları ve parolalar da dâhil olmak üzere cihaz kilit bilgilerini hedeflediği belirtildi.

İddiaya göre söz konusu sanallaştırma tekniği yaklaşık bir düzine Türk finans kuruluşuna karşı kullanıldı ve GodFather virüsü ile Türkiye’deki 12 farklı bankacılık uygulamas hedef alındı.

GODFATHER VİRÜSÜ SALDIRILARINI NASIL GERÇEKLEŞTİRİYOR?

En az Haziran 2021’den bu yana aktif olan ve sızdırılmış Anubis bankacılık truva atı koduna dayandığına inanılan Godfather, dünya genelinde yüzlerce bankacılık ve kripto para uygulamasını hedeflemesiyle biliniyor.

Kötü amaçlı yazılımın yakın zamanda tespit edilen bir versiyonu, enfekte cihazlarda eksiksiz bir sanallaştırma çerçevesi kurarak bilgi çalma yeteneklerini bir üst seviyeye taşıyor. Bu sanallaştırılmış ortamda hedeflenen uygulamaların kopyaları çalıştırılıyor.

Godfather, uygulama sanallaştırmasını destekleyen açık kaynak araçlar olan Virtualapp, Xposedbridge, XposedInstaller ve Xposed’ı kullanarak yeni sahte katman saldırılarını gerçekleştiriyor. Ele geçirilen uygulamaların yüklenmesi için bir ana uygulama (host app) kullanılıyor ve bu uygulamalar sanal bir dosya sistemine kuruluyor.

KULLANICI FARKINA VARMADAN HER İŞLEMİ, DOKUNUŞU İZLENİYOR

Kötü amaçlı yazılım, Android cihazda yüklü olan uygulamaların bir listesini oluşturuyor ve bankacılık uygulamalarından temel bilgileri çıkararak daha sonra sanal ortamda bu uygulamaları başlatmak için kullanılan bir önbellek dosyası yaratıyor.

Bu durumda bir kullanıcı uygulamasını başlattığında, farkına varmadan bu sanallaştırılmış sürüme yönlendiriliyor; burada yapılan her işlem, her dokunuş ve veri girişi, çalıştırma sırasında kötü amaçlı yazılım tarafından izleniyor ve kontrol ediliyor.

Bu yaklaşım, saldırganlara kullanıcının tüm eylemlerine tam erişim imkânı sağlıyor ve hassas bilgiler ile kimlik bilgilerini gerçek zamanlı olarak ele geçirmelerine olanak tanıyor. Ayrıca, kötü amaçlı yazılım uzaktan kontrol edilerek sanallaştırılmış uygulamanın davranışı değiştirilebiliyor ve güvenlik kontrolleri atlatılabiliyor.

TESPİT EDİLMEMEK AMACIYLA DEĞİŞİKLİKLER YAPIYOR

Kötü amaçlı yazılımın son sürümünün ayrıca APK dosyalarının ZIP formatını değiştirdiği ve Android Manifest dosya yapısını modifiye ettiği gözlemlendi; bu değişiklikler tespit edilmemek amacıyla yapılıyor. Ancak, hâlâ Android’in erişilebilirlik hizmetlerini kullanıyor ve kullanıcılardan zararlı faaliyetler için gerekli izinleri kandırarak almayı sürdürüyor.

500 UYGULAMAYI HEDEF ALABİLECEK KAPASİTEDE

Godfather’ın bankacılık, kripto para, iletişim, e-ticaret, sosyal medya ve hizmet uygulamaları dâhil olmak üzere yaklaşık 500 uygulamayı hedef alabilecek kapasitede olduğu söyleniyor.