Finansal uygulamalardan hassas verileri çalmak, kullanıcı SMS mesajlarını okumak ve SMS tabanlı iki faktörlü kimlik doğrulama kodlarını ele geçirildi. Bunu yapan ise Android’in erişilebilirlik özelliklerini kötüye kullanan yeni bir tür mobil bankacılık kötü amaçlı yazılım olduğu çıktı. Kötü amaçlı yazılım Cybereason araştırmacıları tarafından “EventBot” olarak kötü amaçlı yazılım adlandırıldı.

EventBot, 200’den fazla farklı finansal uygulamayı hedefleyebiliyor. Mesela: bankacılık, para transfer hizmetleri ve Paypal Business, Revolut, Barclays, CapitalOne, HSBC, Santander, TransferWise…

Araştırmacılar, “EventBot özellikle ilginç çünkü henüz erken aşamalarda.” dedi. “Bu yeni kötü amaçlı yazılıma, sürekli yinelemeli iyileştirmeler yapılmakta. Kritik bir işletim sistemi özelliğini kötüye kullanıyor. Ve finansal uygulamaları hedeflediği için bir sonraki büyük mobil kötü amaçlı yazılım olma potansiyeli taşıyor.”

Yazılım ilk olarak Mart 2020’de tanımlandı. Yüklendiğinde cihazda kapsamlı izinler isteyen sahte APK mağazalarından bulaşıyor. Ve bazı sıkıntılı web sitelerinden indirilen meşru uygulamalar -mesela Adobe Flash, Microsoft Word- olarak göstererek kötü niyetli niyetini maskeler.

Kullandığı izinler, erişilebilirlik ayarlarına erişim, harici depolama biriminden okuma, SMS mesajları gönderme ve alma, arka planda çalıştırmadır. Son olarak sistem önyüklemesinden sonra kendini başlatma yeteneğini içerir.

EventBot Nasıl ve Ne Olarak Çalışır ?

Bir kullanıcı erişim izni verirse, EventBot bir tuş kaydedici olarak çalışır. Kilit ekran şifresini almak ve toplanan tüm verileri şifrelenmiş bir formatta iletmek için Android erişilebilirlik hizmetlerinden faydalanır. Üstüne üstlük saldırgan kontrollü sunucu “yüklü diğer uygulamalar ve açık pencerelerin içeriği hakkında bildirimler alabilir”.

SMS mesajlarını ayrıştırma özelliği çok ehemmiyetlidir. Bankacılık trojanına SMS tabanlı iki faktörlü kimlik doğrulamasını atlamak için kullanışlı bir araç haline getirir. Böylece rakiplere kurbanın kripto para cüzdanlarına kolay erişim ve banka hesaplarından fon çalma imkanı verir.

Mobil kötü amaçlı yazılımlar ilk kez finansal hizmetleri hedeflemedi. Geçen ay, IBM X-Force araştırmacıları, TrickMo adlı yeni bir TrickBot kampanyasını ayrıntılı olarak açıkladı. Bu, yalnızca bir kerelik şifre (OTP), mobil TAN (mTAN) ve pushTAN kimlik doğrulamasını engellemek içindi. Sadece Alman kullanıcıları hedefledi.

Cybereason araştırmacıları, “Saldırganın bir mobil cihaza erişebiliyor. Özellikle kullanıcıların hassas verilerine ulaşmak veya kurumsal finansal bilgilere erişmek için mobil cihazlarını kullanıyorsa ciddi ticari sonuçları olabilir.”dedi. “Bu, marka bozulmasına, bireysel itibar kaybına veya tüketici güveni kaybına neden olabilir.”

EventBot’un kötü amaçlı uygulamalar ailesi Google Play Store’da etkin olmayabilir. Ancak kullanıcıların neden resmi uygulama mağazalarına bağlı kalmaları ve güvenilir olmayan kaynaklardan yandan yükleme uygulamalarından kaçınmaları gerektiğinin bir başka hatırlatıcısıdır. Yazılımı güncel tutmak ve Google Play Protect’i açmak, cihazları kötü amaçlı yazılımlardan korumak için de güvenli bir yol olabilir.

Kaynak

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir