Bankbot, uzaktan kontrol edilen ve mobil alışveriş ile bankacılık müşterilerini hedef alan bir Android truva atı. İlk kez bu yılın başında ortaya çıktı ve alınan önlemlerle önemli ölçüde püskürtüldü ancak son tespitler, Bankbot’un gizli şekilde tekrar Google Play’e döndüğünü ve bu kez yem olarak online oyunları kullandığını gösteriyor.
Antivirüs yazılım kuruluşu ESET, global düzeyde yeniden ortaya çıkan Bankbot truva atı ile ilgili uyarıda bulunuyor. Bankbot, telefon ve tabletler üzerinden mobil bankacılık ve mobil alışveriş yapan kullanıcıların oturum açma bilgilerine ulaşmaya çalışıyor. Ancak bu kez yeni hileleri deneyerek. Sözkonusu truva atı “geliştirilmiş kod kandırma”, “sofistike yük bırakma işlevselliği” ve “Android’in erişilebilirlik hizmetini kötüye kullanan enfeksiyon mekanizması” gibi yeni yeteneklere sahip.
Daha önce film izleyenleri avlıyordu, bu kez oyun oynayanları
Bankbot, önceki versiyonlarında telefon üzerinden film izlemek isteyenleri, sahte bir Flash Player uygulamasına yönlendiriyor, böylece zararlı yazılım yükletiyordu. Bu kez ise Google Play’de, Jewels Star Classic adlı oyuna sızarak hedefine ulaşmaya çalışıyor.
ESET kullanıcılarını korumaya aldı
Yapılan uyarı üzerine Google’ın güvenlik ekibi, zararlı uygulamayı Google Play mağazasından çıkardı. Ancak çıkarmadan önce 5 bin kullanıcı tarafından yüklendiği tespit edildi. Bununla birlikte ESET, sözkonusu Bankbot versiyonunu Android / Spy.Banker.LA olarak etiketlediğini ve ESET güvenlik yazılımları kullanıcılarının bu zararlıya karşı korunduğunu duyurdu.
Ayarlanmış gecikmeye sahip zararlı yazılım nasıl çalışıyor?
Kullanıcı, Jewels Star Classic oyununu standart biçimde cihazına indiriyor. Bu sırada oyun kaynaklarının içinde gizlenmiş bankacılık zararlı yazılımı da geliyor. Zararlı yazılım ayarlanmış gecikme ile tetikleniyor ve oyunun ilk çalıştırılmasından 20 dakika sonra devreye giriyor. Etkilenen cihaz, oyundan bağımsız olarak, kullanıcıdan “Google Hizmeti” adlı bir öğeyi etkinleştirmesini talep ediyor.
Tamam ya da evet dedikçe ve adımları izleyip izin verdikçe; zararlı yazılım devreye giriyor ve şu görevleri yapıyor:
- Bankbot’u yükleyip başlatıyor.
- Bankbot için cihaz yöneticisini etkinleştiriyor.
- Bankbot’u varsayılan SMS mesajlaşma uygulaması olarak ayarlıyor.
- Diğer uygulamaları iptal etme izni alıyor.
Ana hedef kredi kartı bilgileri
Bu görevler tamamlandıktan sonra, kötü amaçlı yazılım bir sonraki hedefi doğrultusunda çalışmaya başlayor: Kurbanın kredi kartı bilgilerini çalmak. Kullanıcı Google Play uygulamasını başlattığında, Bankbot devreye giriyor ve kullanıcının kredi kartı ayrıntılarını isteyen sahte bir form gösteriyor. Kullanıcı sahte forma aldanır ve kredi kartı bilgilerini girerse, saldırgan hedefine ulaşmış oluyor.
Varsayılan mesajlaşma uygulaması olarak kendisini belirleyen Bankbot bu sayede cihazdan geçen tüm SMS iletişimine erişebiliyor. Bu yöntem, saldırganların bankaların uyguladığı SMS ile yapılan iki faktörlü kimlik doğrulamasını atlamalarına olanak tanıyor.
Bulaşmış olabilir mi?
Cihazınızı Jewels Star Classic için kontrol etmek, yeterli değil çünkü saldırganlar, Bankbot’un dağıtımı için kullandıkları uygulamaları sıklıkla değiştiriyorlar. Cihazınıza virüs bulaşmış olup olmadığını görmek için aşağıdaki göstergeleri takip etmenizi öneririz:
- “Google Güncelleme” adlı bir uygulamanın varlığı (Ayarlar> Uygulama yöneticisi / Uygulamalar> Google Güncellemede bulunur).
- “Sistem güncellemesi” adlı aktif cihaz yöneticisinin varlığı (Ayarlar> Güvenlik> Cihaz yöneticileri altında bulunur).
- “Google Servisi” uyarısının tekrar tekrar görüntülenmesi.
Sözü edilen göstergelerden herhangi birini bulursanız, cihazınıza bu Bankbot varyantı bulaşmış olabilir.
Virüs bulaşmış cihazı nasıl temizleyebilirim?
Cihazınızı manuel olarak temizlemek için önce “Sistem güncellemesi” için cihaz yöneticisi haklarını devre dışı bırakmanız ve ardından hem “Google Güncelleme” hem de truva atı bulaşmış uygulamayı kaldırmanız gerekecektir.
Bununla birlikte, truva atı bulaşmış uygulamanın hangisi olduğunu bulup enfeksiyona başladığını tespit etmek, zararlı yazılım etkinliğinin 20 dakika geç başlaması ve uygulamanın beklendiği gibi çalışması nedeniyle gerçekten zor. Tüm bileşenleri ile tehdidi algılamak ve kaldırmak için güvenilir bir mobil güvenlik çözümü kullanmanızı öneririz.