Yakın zamanda Google Play Store’dan Good Weather isimli bir hava durumu uygulaması indirdiyseniz, havalar sizin için pek güzel olmayabilir.
Android işletim sisteminin Google tarafından işletilen uygulama mağazasında, kendisini bir hava durumu uygulaması gibi gösteren kötü amaçlı yazılım tespit edildi. Bu kötü amaçlı yazılım, ekran kilitleme kapasitesine de sahip ve hedef aldığı Android kullanıcılarının özellikle banka bilgilerini çalıyor. Ve söz konusu kötücül yazılımım hedefleri arasında 22 Türk bankasına ait mobil uygulama da bulunuyor.
Yeni tespit edilen bu kötü amaçlı bankacılık yazılımı, ESET firması tarafından bulundu ve “Trojan.Android/Spy.Banker.HU” adını taşıyor. Kötü amaçlı yazılımın, bir diğer yararlı hava durumu uygulaması olan Good Weather uygulamasının trojanlanmış versiyonu veya kopyası olduğu belirtiliyor.
Zararlı yazılım, Google’ın güvenlik mekanizmasını bir şekilde atlatmayı başarmış ve 4 Şubat tarihinde Google Play Store’dan kullanıma sunulmuş. Ancak bundan iki gün sonra, ESET tarafından tespit edilmesinin ardından uygulama mağazasından kaldırılmış. Uygulamanın bu kısa süre içerisinde 5 binden fazla kullanıcıyı etkilemiş olabileceği tahmin ediliyor.
Orijinal ve yasal Good Weather uygulamasından kopyaladığı fonksiyonlarının yanı sıra bu uygulamanın içerisindeki trojan, etkilediği cihazları uzaktan kilitleyebiliyor ve SMS’lere müdahale edebiliyor. Bunu yapmanın yanı sıra bu trojan, 22 Türk bankasının mobil uygulamalarını kullananları da hedef almış. Bu kullanıcıların bilgileri de sahte giriş formları kullanılarak ele geçirilmiş.
Kötü Amaçlı Yazılım Nasıl Çalışıyor?
Uygulama, masum bir kullanıcı tarafından yüklendikten sonra, hava durumu temalı uygulama simgesi uygulama simgeleri arasından kayboluyor. Virüs bulaşmış cihazda daha sonra “Sistem güncellemesi” adına aygıt yönetici haklarını isteyen sahte bir sistem ekranı görüntüleniyor. Bu hakları etkinleştiren kurban, kötü amaçlı yazılımın ekran kilidini açma parolasını değiştirmesine ve ekranı kilitlemesine izin veriyor.
Yükleme sırasında elde edilen kısa mesajlara müdahale izniyle birlikte, trojan artık kötü amaçlı çalışmasına başlamaya hazır hale geliyor.
Bu noktada endişe duymayan kullanıcılar, ana ekranlarına ekleyebilecekleri yeni hava widget’ından memnun kalabilirler. Ancak kötü amaçlı yazılım arka planda C & C sunucusu ile cihaz bilgisini paylaşmaya çalışıyor.
Karşılık geldiği komuta bağlı olarak, alınan metin mesajlarına müdahale ediyor ve mesajları sunucuya gönderiyor, saldırganların kendi seçtikleri bir kilit ekran şifresi belirleyerek cihazı uzaktan kilitliyor ve kilidini açıyor ve bankacılık kimlik bilgilerini topluyor.
Trojan, kullanıcı hedef alınan bankacılık uygulamalarından birini çalıştırdığında sahte bir giriş ekranı gösteriyor ve girilen verileri saldırgana gönderiyor. Kurbanların kısa mesajlara müdahale edilmesine verdiği izin sayesinde, kötü amaçlı yazılım SMS tabanlı iki faktörlü kimlik doğrulamayı geçebiliyor.
İlgili haber >> Türkiye sınırında Gozi hayaleti dolaşıyor
Cihaz kilitlemesi konusunda, arkadaki sahtekârlık aktivitesini kullanıcıdan gizlemek için, bu fonksiyonun ele geçirilen banka hesaplarını değiştirirken resim girdiğinden şüpheleniyoruz. Cihazları bir kez kilitlendiğinde, kurbanların tek yapabilecekleri şey, kötü amaçlı yazılım cihazın kilidini açma komutu verene kadar beklemek.
Hangi Türk Bankaları Etkilendi?
Bu kötü amaçlı yazılım tarafından hedef alınan Türk bankalarının mobil uygulamalarının isimleri şu şekilde:
com.garanti.cepsubesi
com.garanti.cepbank
com.pozitron.iscep
com.softtech.isbankasi
com.teb
com.akbank.android.apps.akbank_direkt
com.akbank.softotp
com.akbank.android.apps.akbank_direkt_tablet
com.ykb.androidtablet
com.ykb.android.mobilonay
com.finansbank.mobile.cepsube
finansbank.enpara
com.tmobtech.halkbank
biz.mobinex.android.apps.cep_sifrematik
com.vakifbank.mobile
com.ingbanktr.ingmobil
com.tmob.denizbank
tr.com.sekerbilisim.mbank
com.ziraat.ziraatmobil
com.intertech.mobilemoneytransfer.activity
com.kuveytturk.mobil
com.magiclick.odeabank
Cihazım Etkilendi mi? Nasıl Temizleyebilirim?
Google Play Store’dan yakın zamanda bu hava durumu uygulamasını yüklediyseniz, bu banka trojanının kurbanlarından biri olup olmadığınızı kontrol etmek isteyebilirsiniz.
Good Weather adlı uygulamayı indirmiş olabileceğini düşünüyorsanız, uygulamalarınız arasında simgesi olup olmadığını kontrol edin. Resim 3’teki sarı simgeyi görüyor musunuz? O zaman uygulamanız güvenli. Herhangi bir simge bulamıyorsunuz ve uygulama yalnızca bir widget olarak mı çalışıyor? O zaman şurada arama yapın: Ayarlar -> Uygulama Yöneticisi. Uygulamayı yanda gösterildiği gibi Uygulama Yöneticinizde mavi simgesiyle bulduysanız, kötü amaçlı Good Weather taklidini indirmişsiniz demektir.
Cihazınızı temizlemek için ESET Mobile Security gibi tanınmış bir mobil güvenlik çözümüne geçebilir veya zararlı yazılımları manuel olarak kaldırabilirsiniz.
Trojanı manuel olarak kaldırmak için öncelikle Ayarlar -> Güvenlik -> Sistem güncellemesi altında bulunan aygıt yönetici haklarını devre dışı bırakmanız gerekir. Bunu yaptıktan sonra, Ayarlar -> Uygulama Yöneticisi -> Good Weather kötü amaçlı uygulamayı kaldırabilirsiniz.
Nasıl Güvende Olurum?
Uygulamanın trojanlı sürümü mağazadan çekilmiş olduğundan, başlangıçta AsdTm geliştiricisi tarafından Google Play’e gönderilen orijinal Good Weather’ı yüklemek artık güvenli.
Bununla birlikte, meşru uygulamaların kötü amaçlı sahte uygulamaları Play Store’a sızmaya devam ettiği için, bunlardan korunmak için bazı temel ilkeleri uygulamanız iyi olacaktır.
Kusursuz olmasa da, Google Play, kötü amaçlı yazılımları uzak tutmak için gelişmiş güvenlik mekanizmaları kullanıyor. Alternatif uygulama mağazalarında veya bilinmeyen diğer kaynaklarda bu olmayabilir, bu yüzden mümkün olduğunca resmi Google Play mağazasını tercih edin.
Play mağazasından indirirken, yüklemeden veya güncellemeden önce uygulama izinlerini öğrenin. Uygulamayı istediği izinleri otomatik olarak vermek yerine, bunun uygulamanın yanı sıra cihazınız için ne anlama geldiğini düşünün.
Bir şeylerin ters görünüyorsa, diğer kullanıcıların incelemelerinde ne yazdıklarını okuyun ve buna göre indirmek isteyip istemediğinizi tekrar gözden geçirin. Mobil cihazınıza yüklediğiniz herhangi bir şeyi çalıştırdıktan sonra, hangi izinlere ve yetkileri talep ettiğine dikkat edin.
Asıl işleviyle ilgisi olmayan gelişmiş izinler olmadan çalışmayacak bir uygulama, belki de telefonunuzda istemediğiniz bir uygulama olabilir. Son olarak, hepsi bir şekilde başarısız olsa bile, saygın bir mobil güvenlik çözümü, cihazınızı etkin tehditlere karşı koruyacaktır.
Siber Bülten abone listesinie kaydolmak için formu doldurunuz
[wysija_form id=”2″]