Siber Bülten’le bankacılığa yönelik tehditlerin yer aldığı bulguları paylaşan siber güvenlik şirketi Group-IB, 16 ülkede 400’den fazla uygulamanın kullanıcılarını hedef alan bir bankacılık truva atına ilişkin bilgiler verdi.
Android platformunda çalışan bankacılık truva atı Godfather‘ın, kullanıcıları ikna edici sahte web siteleri ve sızılan cihazın ekranında uygulama üstünde görüntüleme gibi taktiklerle şu ana dek 400’den fazla uygulamanın müşterilerine saldırı düzenlendiği ortaya çıktı.
Godfather’ı kullanan kötü amaçlı kişiler bu yöntemle kurbanların giriş bilgilerini çalmaya, ayrıca iki faktörlü kimlik doğrulamasını atlatarak kurbanların hesaplarına erişmeye ve paralarını çekmeye çalışıyor. Group-IB’nin siber tehdit istihbaratı ekibi, bu yeni Android truva atına yönelik araştırmalarında Godfather’ın, işlevselliği Android güncellemeleriyle ve kötü amaçlı yazılım tespit ve engelleme çözümü sağlayıcılarının geçmişteki çabalarıyla sınırlanan; çok yaygın kullanılan bankacılık truva atı Anubis‘in yeni versiyonu olduğunu keşfetti. Söz konusu araştırma Godfather’ın kullanımının günden güne arttığını da gösterdi.
Group-IB’nin bulgularına göre söz konusu truva atı ile en fazla hedef alınan bankacılık uygulamaları ABD’de 49, Türkiye’de 31, İspanya’da 30, Kanada’da 22, Fransa’da 20, Almanya’da 19 ve Birleşik Krallık’ta 17 şirket bulunuyor.
ARKASINDA RUSÇA KONUŞAN TEHDİT AKTÖRLERİ OLABİLİR
Firmanın araştırmasına göre Godfather’ın yazılımında truva atının Rusça ya da eski Sovyetler Birliği’nde kullanılan dillerden birini konuşan kullanıcılara saldırmasını engelleyen bir işlev bulundu. Bu durum Godfather’ın geliştiricilerinin Rusça konuştuğunu düşündürebilir. Truva atı, bunu, bulaştığı cihazın sistem dilini kontrol ettikten sonra dilin Rusça, Azerice, Ermenice, Belarusça, Kazakça, Kırgızca, Moldovoca, Özbekçe veya Tacikçe olması halinde kendini kapatarak gerçekleştiriyor.
Uzmanlar,Anubis ile Godfather’ın aynı kod tabanına sahip olduğunu fakat Godfather’ın komuta ve kontrol iletişim protokollerinin ve kabiliyetlerinin güncellendiğini tespit etti. Ayrıca Godfather’ın geliştiricileri Anubis’in trafik şifreleme algoritmasını değiştirmiş, Google Authenticator OTP’leri (tek kullanımlık şifreler) gibi bazı işlevleri güncellemiş ve sanal ağ bilgi işlem bağlantılarını yönetebilmek için ayrı bir modül eklemişti. Anubis’te bulunan dosya şifreleme, ses kaydetme ve GPS verisi çözümleme gibi truva atı işlevleri kaldırılmıştı.
GOOGLE PLAYSTORE ÜZERİNDEN CİHAZLARA BULAŞMIŞ OLABİLİR
Zararlı yazılımın cihazlara nasıl bulaştığı henüz netleşmezken, Godfather truva atının, Google Play Store’da yer alan kötü amaçlı bir uygulamanın içinde yer aldığı düşünülüyor. Godfather bir cihaza indirildiğinde, Google Play Store’dan uygulama indirilmesi halinde bir kereye mahsus çalışan ve gerçek bir uygulama olan Google Protect’i taklit ederek cihazda kalıcı olmaya çalışıyor. Bu kötü amaçlı yazılım, gerçek Google uygulaması gibi davranabiliyor ve kullanıcıya “tarama yaptığını” belirten bir ekran gösteriyor. Fakat kötü amaçlı yazılımın yaptığı şeyin taramayla hiçbir ilgisi yok. Aksine, kalıcı bir “Google Protect” bildirimi oluşturuyor ve simgesini yüklenen uygulamalar listesinden gizliyor.
“Google Protect” adıyla görünen bu kötü amaçlı yazılım ayrıca, geliştiricilerin uygulamalarını engelli kullanıcılara uyarlamak için kullandığı bir Android özelliği olan AccessibilityService’e erişim istemek için bir hizmet başlatıyor. AccessibilityService’e erişim isteği; kullanıcı, sahte Google Protect uygulamasındaki “Scan” (Tara) butonuna bastığında da gönderiliyor. AccessibilityService’e erişim elde eden Godfather, kendisine gerekli izinleri vererek C&C sunucusuyla iletişim kurmaya başlıyor.
GODFATHER KULLANICILARI DEFALARCA TUZAĞA ÇEKİYOR
Cihazına kötü amaçlı yazılımın bulaştığından bihaber olan kullanıcı, günlük hayatına devam ediyor. Godfather da bu noktada harekete geçiyor. Birçok diğer bankacılık truva atında olduğu gibi Godfather’ın da karakteristik özelliği sahte web sayfalarını; bir diğer adıyla, kötü amaçlı kişiler tarafından oluşturulan ve gerçek uygulamaların üstünde gösterilen HTML sayfalarını kullanmak. Kullanıcı bu sahte web sayfalarıyla; Godfather tarafından hedef alınan gerçek bir uygulamayı açmak ya da cihazında yüklü, hedef alınan bir bankacılık veya kripto uygulamasının sahte bildirimine yanıt vermek suretiyle iki şekilde etkileşime geçebiliyor.
Android truva atı 10 milyon cihazı vurdu: Hedefte Türkiye de var!
Sahte web sayfaları gerçek uygulamaların oturum açma sayfalarını taklit ediyor ve bu sahte HTML sayfalarına girilen kullanıcı adı ve parola gibi tüm veriler, C&C sunucularına gizlice gönderiliyor. Godfather’ın anlık bildirimleri gizlice başka yerlere gönderip iki faktörlü kimlik doğrulama kodlarını toplama işleviyle kötü amaçlı kişiler, bu giriş bilgilerini topluyor, gerçek uygulamalara giriş yapmak için kullanıyor ve ardından kullanıcının hesaplarını boşaltıyor.
Godfather’ın işlevleri ayrıca şunları da içeriyor:
- Kurbanın cihazının ekranını kaydetme
- VNC bağlantıları kurma
- Tuş kaydedici çalıştırma
- Anlık bildirimleri gizlice başka yerlere gönderme (iki faktörlü kimlik doğrulamasını atlatmak için); truva atının önceki sürümleri ayrıca SMS mesajlarını da gizlice başka yerlere gönderiyordu
- Çağrı yönlendirme (iki faktörlü kimlik doğrulamasını atlatmak için)
- USSD istekleri gönderme
- Bulaştığı cihazlardan SMS mesajı gönderme
- Vekil sunucu açma
- Websocket bağlantıları kurma (Godfather’ın Eylül 2022’deki yeni sürümüne eklendi)
