Ana Sayfa / Teknoloji Haberleri / Bankbot Trojanı Android Telefonları Tehdit Ediyor

Bankbot Trojanı Android Telefonları Tehdit Ediyor

Bankbot geri döndü fakat bu sefer daha farklı özelliklerle geldi.  Bu yılın ilk başlarında ortaya çıkan virüs bu sefer online oyunlar üzerinden kullanıcıları tehdit ediyor.

Antivirüs yazılımları üreten ESET, global olarak ortaya çıkan bu virüs ile ilgili uyarılarda bulundu. Bankbot, telefon ve tabletler üzerinden mobil alışveriş yapan kullanıcıların bankacılık bilgilerine ulaşmayı deniyor. Bu sefer kendini geliştiren virüs, sistem dosyalarını taklit etme, sofistike yük bırakma ve Android sistemlerinin erişilebilirlik hizmetini kötüye kullanan enfekte mekanizmasına sahip.

İlk seferde film izleyicilerine saldırmıştı

Bankbot, önceki gelişinde telefonları üzerinden film izleyicilerini, sahte bir flash player uygulaması şeklinde kandırarak sisteme sızıyordu. Bu sefer ise Google Play Store'da Jewels Star Classic adlı oyuna sızarak hedefine ulaşmaya çalışıyor.

ESET bu virüsü tanıyor

Yapılan uyarılara rağmen Güvenlik ekipleri zararlı uygulamayı Google Play mağazasından çıkardı. Ancak uygulama çıkmadan önce 5 bin kişi çoktan yüklenmişti. Bununla birlikte ESET, sözkonusu Bankbot versiyonunu Android / Spy.Banker.LA olarak etiketlediğini ve ESET güvenlik yazılımları kullanıcılarının bu zararlıya karşı korunduğunu duyurdu.

Ayarlanmış gecikmeye sahip zararlı yazılım nasıl çalışıyor?
Kullanıcı, Jewels Star Classic oyununu standart biçimde cihazına indiriyor. Bu sırada oyun kaynaklarının içinde gizlenmiş bankacılık zararlı yazılımı da geliyor. Zararlı yazılım ayarlanmış gecikme ile tetikleniyor ve oyunun ilk çalıştırılmasından 20 dakika sonra devreye giriyor. Etkilenen cihaz, oyundan bağımsız olarak, kullanıcıdan "Google Hizmeti" adlı bir öğeyi etkinleştirmesini talep ediyor.

Tamam ya da evet dedikçe ve adımları izleyip izin verdikçe; zararlı yazılım devreye giriyor ve şu görevleri yapıyor:

Bankbot'u yükleyip başlatıyor.
Bankbot için cihaz yöneticisini etkinleştiriyor.
Bankbot'u varsayılan SMS mesajlaşma uygulaması olarak ayarlıyor.
Diğer uygulamaları iptal etme izni alıyor.
Ana hedef kredi kartı bilgileri

Bu görevler tamamlandıktan sonra, kötü amaçlı yazılım bir sonraki hedefi doğrultusunda çalışmaya başlayor: Kurbanın kredi kartı bilgilerini çalmak. Kullanıcı Google Play uygulamasını başlattığında, Bankbot devreye giriyor ve kullanıcının kredi kartı ayrıntılarını isteyen sahte bir form gösteriyor. Kullanıcı sahte forma aldanır ve kredi kartı bilgilerini girerse, saldırgan hedefine ulaşmış oluyor.

Varsayılan mesajlaşma uygulaması olarak kendisini belirleyen Bankbot bu sayede cihazdan geçen tüm SMS iletişimine erişebiliyor. Bu yöntem, saldırganların bankaların uyguladığı SMS ile yapılan iki faktörlü kimlik doğrulamasını atlamalarına olanak tanıyor.
Bu kadar tehlikeli yapan ne?

ESET Güvenlik Araştırmacısı Lukas Stefanko’nun verdiği bilgiye göre, bu zararlı yazılım dalgasında dolandırıcılar, Google Erişilebilirlik Hizmetini kötüye kullanıyor, Google kimliğine bürünüyor ve Google'ın güvenlik önlemlerinden kaçınmak için zararlı etkinliğin başlamasını geciktiren bir zamanlayıcı kullanıyor. Çeşitli tekniklerin birleştirilmesi, mağdurun tehdidi zamanında tanımlamasını zorlaştırıyor.

Bulaşmış olabilir mi?
Cihazınızı Jewels Star Classic için kontrol etmek, yeterli değil çünkü saldırganlar, Bankbot'un dağıtımı için kullandıkları uygulamaları sıklıkla değiştiriyorlar. Cihazınıza virüs bulaşmış olup olmadığını görmek için aşağıdaki göstergeleri takip etmenizi öneririz:

"Google Güncelleme" adlı bir uygulamanın varlığı (Ayarlar> Uygulama yöneticisi / Uygulamalar> Google Güncellemede bulunur).
"Sistem güncellemesi" adlı aktif cihaz yöneticisinin varlığı (Ayarlar> Güvenlik> Cihaz yöneticileri altında bulunur).
"Google Servisi" uyarısının tekrar tekrar görüntülenmesi.

Sözü edilen göstergelerden herhangi birini bulursanız, cihazınıza bu Bankbot varyantı bulaşmış olabilir.

Virüs bulaşmış cihazı nasıl temizleyebilirim?
Cihazınızı manuel olarak temizlemek için önce "Sistem güncellemesi" için cihaz yöneticisi haklarını devre dışı bırakmanız ve ardından hem "Google Güncelleme" hem de truva atı bulaşmış uygulamayı kaldırmanız gerekecektir.

Bununla birlikte, truva atı bulaşmış uygulamanın hangisi olduğunu bulup enfeksiyona başladığını tespit etmek, zararlı yazılım etkinliğinin 20 dakika geç başlaması ve uygulamanın beklendiği gibi çalışması nedeniyle gerçekten zor. Tüm bileşenleri ile tehdidi algılamak ve kaldırmak için güvenilir bir mobil güvenlik çözümü kullanmanızı öneririz. ESET yazılımları, bu zararlının bulaşmasını engelliyor.

Kimler Neler Demiş?

avatar
500