Çok aceleniz var. İşe, toplantıya veya başka bir randevunuza geç kalıyorsunuz. Taksi çağırmak için kullandığınız uygulamayı açıyorsunuz ancak uygulama sizden kredi kartı numaranızı girmenizi istiyor. Şüphelenir miydiniz? Pek şüphelenmezdiniz çünkü uygulamalar bazen bilgilerimizi unutabiliyor, silebiliyorlar ve bilgileri tekrar girmek zorunda kalabiliyorsunuz.
Bir süre sonra hesabınızdan para gittiğini görüyorsunuz. Peki ne oldu? Yeni bir mobil trojan kurbanı olabilirsiniz. Çünkü geçenlerde taksi çağırma uygulamalarının ara yüzüne sahip banka bilgileri çalan yeni bir zararlı yazılım keşfedildi.
Faketoken Trojanı yıllardır mevcut ve yıllar içerisinde sürekli güncellendi. Uzmanlarımız bu güncel sürüme “Faketoken.q,” adını verdi.
Bu zararlı yazılım akıllı telefona girdikten sonra (ikondan yola çıkarak, Faketoken’in telefona gelen ve fotoğraf indirme bağlantısıyla bulaştığını düşünüyoruz) önemli modülleri yüklüyor. Trojan kısa yolunu saklıyor ve sistemde olan her şeyi arka planda izlemeye başlıyor.
Öncelik, trojan kullanıcının yaptığı aramaları dinliyor. Kullanıcının yaptığı aramaları kaydederek, konuşma sonrasında bu konuşmaları suçluların sunucusuna gönderiyor. Daha sonra, trojan kullanıcının sahip olduğu uygulamaları kontrol ediyor.
Faketoken zararlı yazılımı, arayüzünü taklit edebileceği bir uygulama keşfederse, hemen taklit edebileceği uygulamanın üzerine kendi ekranını yerleştiriyor. Bunu yapmak için ise standart Android özelliği olan ekran katmanını diğer uygulamalar üzerinde göstermeyi kullanıyor. Messenger, Windows Manager ve birçok yaygın kullanılan uygulama bu özelliği kullanıyor.
Üzerine yerleşen ekran gerçek uygulamanın renkleri ile eşleşiyor. Bu ekranda trojan kullanıcıdan kredi kartı bilgilerini ve kartın arkasında bulunan CVC kodunu girmesini istiyor.
Faketoken.q gibi uygulamaların ortak tek bir amacı vardır: taklit ettikleri ödeme ekranının şüphe çekmeyecek kadar gerçekçi olması. Bugüne kadar bu şekilde saldırıya uğrayan birçok uygulama oldu, Android Pay, Google Play Store, uçak ve otel uygulamaları, trafik cezası ödeme uygulamaları ve şimdi de taksi uygulamaları.
Faketoken’in para çalmak için yaptığı şeylerden biri de, cep telefonuna gelen SMS mesajlarını kullanıcıdan gizleyerek suçlulara göndermesi. Böylelikle suçlular cep telefonuna gelen tek kullanımlık onay kodunu girerek ödemeyi gerçekleştirebiliyorlar.
Az sayıdaki saldırıdan ve yukarıda görebileceğini kullanıcı arayüzünden anladığımız kadarıyla, araştırmacıların ele geçirdikleri bu Torjan, Trojanın bitmiş hali değil sadece test versiyonu.
Faketoken’in yaratıcılarına hakkını vermemiz gerek. Büyük ihtimalle trojanı şu an geliştiriyorlardır. Ve büyük ihtimalle daha büyük bir saldırı dalgası yaşayacağız.
Bu Trojan şimdilik Rusya’daki kullanıcılara odaklanmış durumda. Ancak önceden de örneklerini gördüğümüz gibi, siber suçlular birbirlerinin fikirlerini çalıp kendi ülkelerinde de aynısını yaparlar. Kısacası bu saldırı türünü diğer ülkelerde de yakında görebiliriz. Taksi uygulamaları gün geçtikçe artmakta, bu da suçlular için uygun zemini hazırlamaktadır.
Aşağıda kendinizi Faketoken’a ve benzer tehditlere karşı nasıl koruyacağınızdan bahsettiğimiz ipuçlarına göz atabilirsiniz.
- Android ayarlarında bilinmeyen kaynaklardan yapılan yüklemeleri engellemeniz çok önemli. Bunun için Ayarlar – Güvenlik kısmındaki Bilinmeyen Kaynaklar’dan işareti kaldırın.
- Bir uygulama yüklerken mutlaka uygulamanın erişmek istediği izinlere dikkat edin. Google Play’den de indirmiş olsanız (Resmi uygulama mağazalarında da trojanlar olabiliyor) izinler konusunda çok dikkatli olun. Android izinleri hakkında şu yazımıza göz atabilirsiniz.
- Akıllı telefonunuza güvenlik uygulaması indirmeniz iyi bir adımdır. Böylelikle uygulamaların yaptığı zararlı davranışları keşfedebilirsiniz. Kaspersky Internet Security for Android ürünümüzü Google Play’den ücretsiz indirebilirsiniz.