Bankbot truva atı kredi kartı bilgilerinizi çalabilir

Bankbot, uzaktan kontrol edilen ve mobil alışveriş ile bankacılık müşterilerini hedef alan bir Android truva atı ve kredi kartı bilgilerinizi çalmayı hedefliyor.

Antivirüs yazılım kuruluşu ESET, global düzeyde yeniden ortaya çıkan Bankbot truva atı ile ilgili uyarıda bulunuyor. Bankbot, telefon ve tabletler üzerinden mobil bankacılık ve mobil alışveriş yapan kullanıcıların oturum açma bilgilerine ulaşmaya çalışıyor. Ancak bu kez yeni hileleri deneyerek. Sözkonusu truva atı “geliştirilmiş kod kandırma”, “sofistike yük bırakma işlevselliği” ve “Android’in erişilebilirlik hizmetini kötüye kullanan enfeksiyon mekanizması” gibi yeni yeteneklere sahip.

Daha önce film izleyenleri avlıyordu, bu kez oyun oynayanları

Bankbot, önceki versiyonlarında telefon üzerinden film izlemek isteyenleri, sahte bir Flash Player uygulamasına yönlendiriyor, böylece zararlı yazılım yükletiyordu. Bu kez ise Google Play’de, Jewels Star Classic adlı oyuna sızarak hedefine ulaşmaya çalışıyor.

Ayarlanmış gecikmeye sahip zararlı yazılım nasıl çalışıyor?

Kullanıcı, Jewels Star Classic oyununu standart biçimde cihazına indiriyor. Bu sırada oyun kaynaklarının içinde gizlenmiş bankacılık zararlı yazılımı da geliyor. Zararlı yazılım ayarlanmış gecikme ile tetikleniyor ve oyunun ilk çalıştırılmasından 20 dakika sonra devreye giriyor. Etkilenen cihaz, oyundan bağımsız olarak, kullanıcıdan "Google Hizmeti" adlı bir öğeyi etkinleştirmesini talep ediyor.

Tamam ya da evet dedikçe ve adımları izleyip izin verdikçe; zararlı yazılım devreye giriyor ve şu görevleri yapıyor:

  • Bankbot'u yükleyip başlatıyor.
  • Bankbot için cihaz yöneticisini etkinleştiriyor.
  • Bankbot'u varsayılan SMS mesajlaşma uygulaması olarak ayarlıyor.
  • Diğer uygulamaları iptal etme izni alıyor.

Ana hedef kredi kartı bilgileri

Bu görevler tamamlandıktan sonra, kötü amaçlı yazılım bir sonraki hedefi doğrultusunda çalışmaya başlayor: Kurbanın kredi kartı bilgilerini çalmak. Kullanıcı Google Play uygulamasını başlattığında, Bankbot devreye giriyor ve kullanıcının kredi kartı ayrıntılarını isteyen sahte bir form gösteriyor. Kullanıcı sahte forma aldanır ve kredi kartı bilgilerini girerse, saldırgan hedefine ulaşmış oluyor.

Varsayılan mesajlaşma uygulaması olarak kendisini belirleyen Bankbot bu sayede cihazdan geçen tüm SMS iletişimine erişebiliyor. Bu yöntem, saldırganların bankaların uyguladığı SMS ile yapılan iki faktörlü kimlik doğrulamasını atlamalarına olanak tanıyor.

Bu kadar tehlikeli yapan ne?

ESET Güvenlik Araştırmacısı Lukas Stefanko’nun verdiği bilgiye göre, bu zararlı yazılım dalgasında dolandırıcılar, Google Erişilebilirlik Hizmetini kötüye kullanıyor, Google kimliğine bürünüyor ve Google'ın güvenlik önlemlerinden kaçınmak için zararlı etkinliğin başlamasını geciktiren bir zamanlayıcı kullanıyor. Çeşitli tekniklerin birleştirilmesi, mağdurun tehdidi zamanında tanımlamasını zorlaştırıyor.

Bulaşmış olabilir mi?

Cihazınızı Jewels Star Classic için kontrol etmek, yeterli değil çünkü saldırganlar, Bankbot'un dağıtımı için kullandıkları uygulamaları sıklıkla değiştiriyorlar. Cihazınıza virüs bulaşmış olup olmadığını görmek için aşağıdaki göstergeleri takip etmenizi öneririz:

  • "Google Güncelleme" adlı bir uygulamanın varlığı (Ayarlar> Uygulama yöneticisi / Uygulamalar> Google Güncellemede bulunur).
  • "Sistem güncellemesi" adlı aktif cihaz yöneticisinin varlığı (Ayarlar> Güvenlik> Cihaz yöneticileri altında bulunur).
  • "Google Servisi" uyarısının tekrar tekrar görüntülenmesi.

Sözü edilen göstergelerden herhangi birini bulursanız, cihazınıza bu Bankbot varyantı bulaşmış olabilir.