Kaspersky Global Araştırma ve Tahlil Takımı (GReAT), siber suçluların BeatBanker Truva atını Starlink’in Android uygulaması maskesiyle yaydığı yeni bir ziyanlı yazılım kampanyası tespit etti. Saldırganlar öncelikli olarak Brezilya’daki kullanıcıları gaye alsa da, Kaspersky uzmanları başka ülkelerdeki kullanıcıların da bu tehditle karşı karşıya kalabileceği konusunda uyarıyor. Kelam konusu Truva atı, aygıtlarda Monero kripto para madenciliği yapmasının yanı sıra BTMOB adlı bir uzak erişim aracı (RAT) da yüklüyor. BeatBanker, sistemde kalıcılığını sürdürmek için neredeyse duyulamayacak kadar düşük düzeyde daima döngüye alınmış bir ses belgesi, daima döngüde olan bir ses evrakı kullanan sıra dışı bir sistemden faydalanıyor.
Kaspersky GReAT Amerika ve Avrupa Birimleri Başkanı Fabio Assolini, konuya ilişkin şu açıklamalarda bulundu: “BeatBanker’ı birinci gördüğümüzde bir kamu hizmetleri uygulaması kılığında yayılıyor ve kripto madenciye ek olarak bir bankacılık Truva atı yüklüyordu. Lakin son tespitlerimiz, bankacılık modülü yerine BTMOB RAT’ı devreye sokan yeni bir varyantın kullanıldığını gösteriyor. Saldırganlar, farklı ülkelerden daha fazla kurbana ulaşmak için Starlink uygulaması üzere yeni bir ‘yem’ kullanıyor. Bu nedenle kullanıcıların tetikte olması ve akıllı telefonlarını korumak için gelişmiş güvenlik tahlilleri kullanmaları kritik değer taşıyor.”
İlk bulaşma vektörü
Kaspersky uzmanlarına nazaran siber hatalılar, BeatBanker Truva atını içeren geçersiz bir Starlink uygulamasını, Google Play Store’u taklit eden oltalama (phishing) sayfaları üzerinden dağıtıyor. Ziyanlı yazılım bir aygıta yüklendikten sonra, kullanıcıya yeniden Google Play’i taklit eden bir arayüz gösteriyor. Bu yolla saldırganlar kullanıcıları uygulama suram müsaadelerini vermeye ikna ederek ek saklı ziyanlı bileşenlerin indirilmesine imkan tanıyor.
Kripto madenciliği ve BTMOB RAT modülü
Kullanıcı geçersiz Google Play sayfasında UPDATE düğmesine tıkladığında aygıtta bir Monero kripto para madencisi devreye giriyor. BeatBanker, enfekte akıllı telefonun pil düzeyini, aygıt sıcaklığını ve kullanıcı etkinliğini sürekli izliyor. Bu bilgiler doğrultusunda art planda çalışan saklı kripto madencisi otomatik olarak başlatılıyor yahut durduruluyor.
Android Truva atı ayrıyeten ele geçirilen cihaza BTMOB RAT da kuruyor. Malware-as-a-Service (MaaS) modeliyle satılan bu araç, saldırganlara cihaz üzerinde tam uzaktan kontrol sağlıyor. BTMOB; müsaadeleri otomatik olarak verebilme, sistem bildirimlerini gizleyebilme ve PIN, desen ve parola üzere ekran kilidi bilgilerinin ele geçirilmesine yönelik mekanizmalar içeriyor. Ziyanlı yazılım ayrıyeten saldırganların ön ve art kameralara erişmesine, GPS pozisyonunu izlemesine ve hassas dataları daima olarak toplamasına olanak tanıyor.
BeatBanker, sistemden kaldırılmasını zorlaştırmak için kalıcılık sistemleri da kullanıyor. Ziyanlı yazılım, ön planda sabit bir bildirim göstererek ve art planda sessiz medya oynatma içeren bir foreground servis çalıştırarak işletim sisteminin ziyanlı süreci sonlandırmasını engellemeyi amaçlıyor.
Kaspersky eserleri bu tehdidi HEUR:Trojan-Dropper.AndroidOS.BeatBanker ve HEUR:Trojan-Dropper.AndroidOS.Banker.* olarak tespit ediyor.
Mobil tehditlere karşı korunmak için Kaspersky’nin önerileri
- Uygulamaları yalnızca Apple App Store ve Google Play üzere resmi uygulama mağazalarından indirin. Fakat resmi mağazalardan indirilen uygulamaların da her vakit büsbütün inançlı olmayabileceğini unutmayın.
- Uygulama yorumlarını kesinlikle denetim edin, yalnızca resmi web sitelerindeki bağlantıları kullanın ve uygulama ziyanlı çıkarsa bunu tespit edip engelleyebilecek Kaspersky Premium gibi emniyetli bir güvenlik çözümü yükleyin.
- Kullandığınız uygulamaların izinlerini dikkatle inceleyin. Özellikle Erişilebilirlik Hizmetleri (Accessibility Services) gibi yüksek riskli müsaadeler kelam konusu olduğunda onay vermeden evvel iki defa düşünün.
- İşletim sisteminizi ve kıymetli uygulamalarınızı güncellemeler yayınlandıkça şimdiki tutun. Pek çok güvenlik açığı, yazılımın aktüel sürümlerini yükleyerek giderilebilir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
