Ginp mobil Truva Atı gelen SMS’leri taklit ediyor

Banka kartı bilgilerinizin peşinde olan kötü amaçlı yazılım, uygulamaların üzerinde kimlik avı sayfaları gösteriyor ve bu uygulamaları açmanız için sahte bildirimler gönderiyor.

Bir telefona giren bankacılık Truva Atların çoğu, SMS mesajlarına erişim sağlamaya çalışır. Bunu, bankalardan gelen tek seferlik doğrulama kodlarını çalarak yaparlar. Bu kodla donanmış kötü amaçlı yazılım sahipleri, kurban hiçbir şeyin farkına varmadan ödeme yapabilir veya fonları boşaltabilir. Aynı zamanda birçok mobil Truva Atı, kurbanın kayıtlı kişilerine kötü birer indirme bağlantısı göndererek daha fazla cihaza virüs bulaşturmak için de SMS’i kullanır.

Sizin adınıza saldırgan metin mesajları gibi başka şeyler yaymak için SMS’i kullanan bir takım daha yaratıcı kötü amaçlı yazılımlar da bulunur. İlk defa geçen sonbaharda tespit ettiğimiz Ginp kötü amaçlı yazılımı ise, kurbanın telefonuna aslında kimsenin göndermediği sahte mesajlar bile gönderebiliyor. Üstelik gönderdikleri yalnızca metin mesajlarıyla sınırlı da değil. En baştan başlayalım.

Ginp mobil Truva Atı neler yapabilir

Ginp, ilk bakışta bir bankacılık Truva Atı’nın standart becerilerine sahipti. Kurbanların tüm kayıtlı kişilerini geliştiricilerine gönderiyor, metin mesajlarını okuyor, banka kartı bilgilerini çalıyor ve bankacılık uygulamalarının üzerinde kimlik avı pencereleri görüntülüyordu.

İkinci olarak, uygulama, Android^de görme engelli kişilere yönelik bir dizi özelliği içeren Erişilebilirlik’i kötüye kullanıyordu. Bu aslında oldukça yaygın; bankacılık Truva Atları ve başka türden birçok kötü amaçlı yazılım, ekrandaki her şeye görsel erişim sağlayabildikleri, hatta butonlara veya bağlantılara basabildikleri, kısacası telefonunuzun kontrolünü tamamen ele geçirebildikleri için bu özelliği kullanıyor.

Fakat Ginp geliştiricileri bununla kalmadı, sürekli daha yaratıcı becerilerle cephanelerini doldurmaya devam ettiler. Örneğin, kötü amaçlı yazılım, kurbanların belirli uygulamaları açmasını sağlamak için anlık bildirimleri ve pop-up mesajları kullanmaya başladı; açtırdıkları bu uygulamaların üzerinde kendi kimlik avı sayfalarını görüntüleyebiliyorlardı. Bildirimler, kullanıcıların banka kartı bilgilerini girmeleri gerektiği beklentisi oluşturacak şekilde zekice yazılmıştı. Aşağıda bir örneğini görebilirsiniz (İspanyolca):

Google Pay: Nos faltan los detalles de su tarjeta de crédito o débito. Utilice Play Store para agregarlos de manera segura.
(“Google Pay: Kredi kardı veya banka kartı bilgileriniz eksik. Bunları güvenli biçimde eklemek için lütfen Play Store uygulamasını kullanın.”)

Kullanıcılar, Play Store uygulamasında tam da bekledikleri gibi kart bilgilerinin girilmesini isteyen bir sayfa görüyorlardı. Ne var ki, bu formu gösteren Google Pay değil, Truva Atı’ydı; girilen veriler de doğruca siber suçlulara gidiyordu.

Play Store uygulamasında görüntüleniyormuş gibi görününen, sahte (ama maalesef çok inandırıcı) bir banka kartı bilgileri girme penceresi

Ginp, Play Store’un da ötesine geçerek bankacılık uygulamalarından geliyormuş gibi görünen bildirimler de gösteriyordu:

B**A: Actividad sospechosa en su cuenta de B**A. Por favor, revise las ultimas transacciones y llame al 91 *** ** 26.
(“B**A: B**A hesabınızda şüpheli aktiviteler tespit edildi. Lütfen son işlemleri kontrol edip 91 *** ** 26’yı arayın.”)

Sahte bildirim, enteresan biçimde bankanın gerçek telefon numarasını veriyordu. Dolayısıyla, aradığınız takdirde hattın diğer ucundaki ses size hesabınızda bir sorun olmadığını söyleyecekti. Fakat bankayı aramadan önce “şüpheli aktiviteleri” kontrol etmek isterseniz kötü amaçlı yazılım, bankacılık uygulamasının üzerinde kendi sahte sayfasını görüntüleyerek kart bilgilerinizi istiyordu.

Son derece ikna edici sahte SMS mesajları

Şubat aynının başında, Botnet Attack Tracking sistemimiz Ginp’te yeni bir beceri daha tespit etti: Gelen sahte mesaj oluşturabiliyordu. Amaç, öncekiyle aynıydı, yani kullanıcının bir uygulamayı açmasını sağlamaktı. Ancak artık Truva Atı herhangi bir göndericiden geliyormuş gibi görünen her türlü SMS’i oluşturabiliyordu. Saldırganların bankalardan veya Google’dan geliyormuş gibi görünün sahte mesajlar göndermesinin önünde hiçbir engel yoktu.

Bir bankadan gelmiş gibi görünen, kullanıcıdan mobil bir uygulamada ödemeyi doğrulamasını isteyen bir mesaj

 

Kullanıcılar anlık bildirimleri her zaman çok önemsemese de, gelen SMS’leri eninde sonunda okuma eğilimindedir. Bu da büyük olasılıkla herhangi bir kullancının hesabında ne olduğunu görmek için uygulamayı açacağı anlamına gelir. İşte Truva Atı da tam bu noktada kart bilgilerinizi girmeniz için araya sahte bir form sokar.

Ginp’ten nasıl korunulur

Ginp şu anda temel olarak İspanya’daki kullanıcıları hedef alıyor. Ancak taktikleri daha önce bir kez değişti; eskiden Polonya ve Birleşik Krallık’taki kullanıcıları da hedef alıyordu. Dolayısıyla başka bir yerde yaşıyor olsanız dahi siber güvenliğin en temel kurallarını daima aklınızda tutun. Bankacılık Truva Atları’na kurban düşmemek için:

  • Uygulamaları sadece Google Play’den indirin.
  • Bilinmeyen kaynaklardan gelen uygulamaların kurulumlarını Android ayarlarından kaldırın.
  • Metin mesajlarındaki bağlantıları açmayın; özellikle de mesaj bir şekilde şüpheli görünüyorsa (örneğin bir arkadaşınız mesajlaşma veya sosyal medya uygulamasından görsel göndermek yerine size metin mesajıyla bir fotoğraf bağlantısı gönderiyorsa.)
  • Talep eden hiçbir uygulamaya Erişilebilirlik izni vermeyin. Çok az sayıda program bu güçlü izne gerçekten ihtiyaç duyar.
  • Mesajlarınıza erişmek isteyen uygulamalara dikkat edin.
  • Telefonunuza güvenilir bir güvenlik çözümü yükleyin. Örneğin Kaspersky Internet Security for Android, Ginp’in yanı sıra pek çok diğer tehdidi de tespit eder.
İpuçları