Bu truva atı Avustralya, Yeni Zelanda ve Türkiye’deki mobil bankacılık müşterilerini hedef alıyor
Truva atının hedefi Türkiye’deki mobil bankacılık müşterileri
Global antivirüs yazılım kuruluşu ESET, oturum açma bilgilerini alabilmek için mobil bankacılık müşterilerini sahte sayfalara yönlendiren bir zararlı yazılım tespit etti. “Android/Spy.Agent.SI” olarak tanımlanan bu truva atı, ilk tespitlere göre Avustralya, Yeni Zelanda ve Türkiye'deki toplam 20 bankanın müşterilerini hedef aldı. Söz konusu zararlı yazılım, şaşırtıcı bir yeteneğe de sahip: SMS iletişimini izleme kabiliyeti sayesinde, bankaların uyguladığı iki faktörlü kimlik doğrulama uygulamasını bypass edebiliyor.
Bankaların güvenlik önlemlerini aşmakta zorlanan siber suçlular, banka müşterilerini kandırma yolunu seçiyorlar. ESET; bu çerçevede Avustralya, Yeni Zelanda ve Türkiye’deki mobil bankacılık müşterilerini hedef alan yeni bir bankacılık truva atı ile ilgili uyarılarda bulundu.
Taklit Flash Player uygulamasıyla yayılıyor
Android işletim sistemli telefonları hedef alan “Android / Spy.Agent.SI“ isimli truva atı, Flash Player uygulamasının bir taklidi olarak yayılıyor. İndirilen ve yüklenen sahte Flash Player uygulaması, cihaz yöneticisinin haklarını alarak kendisinin cihazdan kolayca kaldırılmasını engelliyor. Truva atı, sonrasında herhangi bir hedef bankacılık uygulamasının cihazda yüklü olup olmadığını kontrol ediyor. Eğer öyleyse, kendi komuta ve kontrol sunucusundan her bankacılık uygulaması için sahte giriş ekranları oluşturuyor.
Sahte ekran açılıyor
Mobil bankacılık müşterisi, bankacılık uygulamasını başlattığında, kendisine sahte bir giriş ekranı gönderiliyor. Sahte ekran, gerçek uygulamanın üstünde görünüyor ve banka giriş bilgilerini talep ediyor. Kurban, kendi banka kimliklerini sununcaya kadar ekran kilitli kalıyor. Sonrasında ekran açılıyor ancak herhangi bir işlem yapmak mümkün olmuyor. Ancak oturum açma bilgileri, saldırganın eline geçmiş bulunuyor.
Oturum bilgileriyle gerçek hesaplara ulaşmaya çalışıyorlar
Saldırganlar, daha sonra bu oturum açma bilgilerini kullanarak, bankacılık müşterilerinin hesaplarına giriş yapma imkanına kavuşabiliyorlar. Üstelik bunu yaparken truva atının ekstra bir özelliği de katkı sağlıyor. Bu truva atı, şaşırtıcı şekilde; SMS iletişimini izleme yeteneğine sahip. Böylece bu zararlı yazılım bankaların uyguladığı SMS tabanlı iki faktörlü kimlik doğrulama uygulamasını atlatabiliyor ve SMS şifresini saldırganın sunucusuna iletiyor.
Önceden korunmak gerekir
ESET Güvenlik Araştırmacısı Lukáš Stefanko, Flash Player uygulamalarına dikkat edilmesini ve karşınıza çıkan her yerden indirilmemesi konusunda uyarıda bulunuyor. Stefanko, “Saldırıya uğradığını düşünenler sahte Flash Player uygulamasını telefonlarının ayarlar kısmından kaldırmaya çalışmalı. Ancak truva atının doğası gereği bu, bazen mümkün olmayabilir de. O nedenle önceden korunmak çok çok önemli. Tıpkı bilgisayarlarda olduğu gibi akıllı cep telefonlarında da mutlaka güncel ve proaktif bir mobil güvenlik uygulaması kullanılmalı” diye konuştu.