Siber suçlular her geçen gün daha usta, yenilikçi ve gizli hale geliyorlar. Artık gelenekselden sınırsız saldırı vektörleriyle gelen daha gizli tekniklere doğru kaymışlar ve tespit etmek daha zordur. Güvenlik araştırmacıları, en tehlikeli Android bankacılık Truva atı ailelerinden birinin, son zamanlara bir keylogger eklemek için değiştirildiğini ve saldırganlara mağdurların hassas verilerini çalmak için başka bir yol sağladığını keşfetti.
Kaspersky Lab’in Kıdemli kötü amaçlı yazılım analisti Roman Unuchek , Android’in Erişilebilirlik Hizmetlerinden yararlanan yeni bir keylogger özelliği ile geçen ayın ortasında, Svpeng adlı ünlü Android bankacılık Truva atının yeni bir versiyonunu gördü.
Trojan Exploits ‘Erişilebilirlik Hizmetleri’ Keylogger Eklemek
Evet, Svpeng’in yeni sürümüne eklenen keylogger , akıllı telefon cihazlarıyla etkileşimde bulunmanın alternatif yollarını sunan bir Android özelliği olan Accessibility Services’ten yararlanıyor. Bu değişiklik, Svpeng Trojan’ı sadece cihaza yüklenen diğer uygulamalardan girilen metni çalmakla kalmaz ve tüm tuş vuruşlarını kaydeder, aynı zamanda kurbanların Truva’yı kaldırmasını önlemek için daha fazla izin ve haklar tanır.
Geçen yıl Kasım ayında, Svpeng bankacılık trojanı , kötü niyetli bankacılık Truva atını yaymak için suistimal edilen Google AdSense reklamlarının yardımıyla yalnızca iki ay boyunca 318.000’den fazla Android cihazını dünya genelinde etkiledi . Bir aydan fazla bir süre önce araştırmacılar, Android’in Erişilebilirlik Hizmetlerinden yararlanarak Cloak ve Hançer saldırısı olarak bilinen ve saldırganların virüslü cihazların kontrolünü ele geçirmelerini ve özel verileri çalmalarını sağlayan başka bir saldırı da keşfettiler .
Eğer Russanız, Güvenlisiniz!
Svpeng kötü amaçlı yazılımın yeni varyantı henüz yaygın bir şekilde dağıtılmamış olsa da, kötü amaçlı yazılım Rusya, Almanya, Türkiye, Polonya ve Fransa’yı kapsayan bir hafta boyunca 23 ülkeye ulaşmıştır. Ancak dikkat edilmesi gereken şey, virüs bulaşan kullanıcıların çoğu Rusya’dan gelse de, Svpeng Trojan’ın yeni varyantı bu aygıtlarda kötü niyetli eylemler gerçekleştirmemesidir. Unuchek’e göre, cihaza bulaştıktan sonra Truva, cihazın dilini kontrol eder. Eğer dil Rusça ise, kötü amaçlı yazılım daha da kötü niyetli görevleri önler – bu da bu kötü amaçlı yazılımın ardındaki suçlu grubun Rus halkını yerel halkı hackleyerek ihlal etmekten kaçınan Rus olduğunu gösterir.
Nasıl ‘Svpeng’ Trojan Paranı Çaldırıyor
Unuchek, Temmuz ayında tespit ettiği Svpeng’in son versiyonunun sahte bir Flash Player gibi gizlenen kötü amaçlı web siteleri aracılığıyla dağıtıldığını söylüyor. Yüklendikten sonra, yukarıda bahsettiğim gibi, kötü amaçlı yazılım ilk önce aygıt dilini kontrol eder ve dil Rusça değilse, cihazdan virüslü aygıtı bir dizi tehlikeli saldırıya açan Erişilebilirlik Hizmetlerini kullanmasını ister.
Erişilebilirlik Hizmetlerine erişim sahibi olan Truva, cihaz yöneticisi haklarını verir, meşru uygulamaların üstünde bir yer paylaşımı gösterir, kendisini varsayılan bir SMS uygulaması olarak yükler ve çağrı yapma, gönderme ve gönderme gibi bazı dinamik izinler verir. SMS almak ve kişileri okumak.
Ek olarak, yeni kazanılan idari yeteneklerini kullanarak, Truva Atı, mağdurların cihaz yöneticisi haklarını kaldırma girişimlerini engelleyebilir ve böylece kötü amaçlı yazılımların kaldırılmasını engelleyebilir. Erişilebilirlik servislerini kullanan Svpeng, cihazdaki diğer uygulamaların iç çalışmalarına erişim sağlayarak, Truva’nın diğer uygulamalarda girilen metni çalmasına ve kurbanın klavye üzerindeki herhangi bir düğmeye bastığında ve diğer mevcut verilerin ekran görüntüsünü almasına olanak tanır.
Unuchek, “Bazı uygulamalar, çoğunlukla bankacılık olanları, ekran görüntülerinin üstte kaldıklarında alınmasına izin vermiyor. Bu tür durumlarda, Truva atı veri çalmak için başka bir seçeneğe sahip – saldırıya uğrayan uygulamanın üzerinden kimlik avı penceresini çiziyor” diyor.
“Hangi uygulamanın üstünde olduğunu öğrenmek için erişilebilirlik hizmetlerini de kullanması ilginç.” Tüm çalıntı bilgi saldırganların komut ve kontrol (C & C) sunucusuna yüklenir. Araştırmasının bir parçası olarak Unuchek, kötü amaçlı yazılımın C & C sunucusundan şifrelenmiş bir yapılandırma dosyasını engellemeyi başardığını söyledi.
Dosyayı şifrelemek, Svpeng’in hedeflediği bazı web sitelerinin ve uygulamaların yanı sıra, hem PayPal hem de eBay mobil uygulamaları için kimlik avı sayfaları içeren bir URL almasına yardımcı olmasının yanı sıra, İngiltere, Almanya’dan bankacılık uygulamaları için bağlantılar sağlamasına yardımcı oldu. Türkiye, Avustralya, Fransa, Polonya ve Singapur.
URL’lerin yanı sıra, dosya aynı zamanda kötü amaçlı yazılımın SMS göndermeyi, kişiler, kurulu uygulamalar ve çağrı günlükleri gibi bilgileri toplamasını, kötü amaçlı bağlantıyı açmasını, aygıttan tüm SMS’leri toplamasını ve gelenleri çalmasını içeren C & C sunucusundan çeşitli komutlar almasını sağlar. SMS. ESET’teki kötü amaçlı yazılım araştırmacısı Lukas Stefanko , The Hacker News ile bu kötü amaçlı yazılımın çalışmasını gösteren bir video paylaştı (aşağıda verilmiştir).
‘Svpeng’ Android Bankacılık Kötü Amaçlı Yazılımların Evrimi
Kaspersky Lab’daki araştırmacılar, ilk olarak 2013 yılında, birincil yetenekle (Phishing) Svpeng Android bankacılığı kötü amaçlı yazılım trojanını keşfettiler.
2014 yılında, kötü amaçlı yazılım daha sonra kurbanın aygıtını kilitleyen bir fidye yazılımı bileşeni (FBI tarafından pornografi içeren siteler ziyaret ettikleri için) ve kullanıcılardan 500 $ talep edildiğinde değiştirildi.
Kötü amaçlı yazılım, SMS bankacılığına saldıran ilk kişiler arasındaydı, bankacılık uygulamalarını çalmak, cihazları engellemek ve para talep etmek için diğer uygulamaları yerleştirmek amacıyla phishing web sayfalarını kullanıyordu.
2016 yılında, siber suçlular Svpeng’i Google AdSense üzerinden aktif olarak dağıtıyordu Chrome web tarayıcısında bir güvenlik açığı kullanarak ve şimdi Svpeng’i neredeyse tüm bilgileri çalabilecek en tehlikeli mobil bankacılık kötü amaçlı yazılım ailesini (Facebook kimlik bilgilerinizden kredi kartlarına ve banka hesaplarına) çeken Erişilebilirlik Hizmetlerini kötüye kullanmak.
Smartphone’unuzu Hackerlardan Nasıl Korur
Sadece erişilebilirlik hizmetleriyle, bu bankacılık Truva atı, virüs bulaşmış cihazlardan çok sayıda veri çalmak için gerekli tüm izinleri ve hakları kazanır. Svpeng kötü amaçlı yazılımın kötü niyetli teknikleri, en son Android sürümü ve yüklü tüm güvenlik güncellemeleriyle tam olarak güncellenen Android cihazlarda bile çalışır, bu yüzden küçük kullanıcılar kendilerini korumak için yapabilirler.
Etkilenmeden kalmak için takip etmeniz gereken standart koruma önlemleri vardır:
Google Play Store ve Apple App Store gibi güvenilir kaynaklara daima güvenebilirsiniz, ancak yalnızca güvenilir ve doğrulanmış geliştiricilerden. En önemlisi, uygulamaları yüklemeden önce uygulama izinlerini doğrulayın. Herhangi bir uygulama, ne anlama geldiğinden daha fazlasını soruyorsa, onu yüklemeyin. Çoğu zaman bu tür zararlı yazılımlar güvenilmeyen üçüncü taraflar aracılığıyla yayıldığı için üçüncü taraf kaynaklardan uygulama indirmeyin. Bilinmeyen ve güvenli olmayan Wi-Fi etkin noktalarından kaçının ve kullanımda değilken Kablosuz bağlantınızı KAPALI tutun. SMS, MMS veya e-postada verilen linklere asla tıklamayın. E-posta okunaklı görünse bile, doğrudan kaynak web sitesine gidin ve olası güncellemeleri doğrulayın. Cihazınıza bulaşmadan önce bu tür kötü amaçlı yazılımları tespit edip engelleyebilecek iyi bir antivirüs uygulaması yükleyin ve uygulamayı her zaman güncel tutun.