Kaspersky, Starlink uygulaması kılığında yayılan yeni bir Android ziyanlı yazılım kampanyasını ortaya çıkardı

BEĞENDİM

ABONE OL

News

Kaspersky Global Araştırma ve Tahlil Grubu (GReAT), siber suçluların BeatBanker Truva atını Starlink’in Android uygulaması maskesiyle yaydığı yeni bir ziyanlı yazılım kampanyası tespit etti. Saldırganlar öncelikli olarak Brezilya’daki kullanıcıları maksat alsa da, Kaspersky uzmanları öteki ülkelerdeki kullanıcıların da bu tehditle karşı karşıya kalabileceği konusunda uyarıyor. Kelam konusu Truva atı, aygıtlarda Monero kripto para madenciliği yapmasının yanı sıra BTMOB adlı bir uzak erişim aracı (RAT) da yüklüyor. BeatBanker, sistemde kalıcılığını sürdürmek için neredeyse duyulamayacak kadar düşük düzeyde daima döngüye alınmış bir ses evrakı, daima döngüde olan bir ses evrakı kullanan sıra dışı bir düzenekten faydalanıyor.

Kaspersky GReAT Amerika ve Avrupa Birimleri Başkanı Fabio Assolini, konuya ilişkin şu açıklamalarda bulundu: “BeatBanker’ı birinci gördüğümüzde bir kamu hizmetleri uygulaması kılığında yayılıyor ve kripto madenciye ek olarak bir bankacılık Truva atı yüklüyordu. Lakin son tespitlerimiz, bankacılık modülü yerine BTMOB RAT’ı devreye sokan yeni bir varyantın kullanıldığını gösteriyor. Saldırganlar, farklı ülkelerden daha fazla kurbana ulaşmak için Starlink uygulaması üzere yeni bir ‘yem’ kullanıyor. Bu nedenle kullanıcıların tetikte olması ve akıllı telefonlarını korumak için gelişmiş güvenlik tahlilleri kullanmaları kritik ehemmiyet taşıyor.”

İlk bulaşma vektörü

Kaspersky uzmanlarına nazaran siber hatalılar, BeatBanker Truva atını içeren düzmece bir Starlink uygulamasını, Google Play Store’u taklit eden oltalama (phishing) sayfaları üzerinden dağıtıyor. Ziyanlı yazılım bir aygıta yüklendikten sonra, kullanıcıya tekrar Google Play’i taklit eden bir arayüz gösteriyor. Bu sistemle saldırganlar kullanıcıları uygulama suram müsaadelerini vermeye ikna ederek ek saklı ziyanlı bileşenlerin indirilmesine imkan tanıyor.

Kripto madenciliği ve BTMOB RAT modülü

Kullanıcı geçersiz Google Play sayfasında UPDATE düğmesine tıkladığında aygıtta bir Monero kripto para madencisi devreye giriyor. BeatBanker, enfekte akıllı telefonun pil düzeyini, aygıt sıcaklığını ve kullanıcı etkinliğini sürekli izliyor. Bu bilgiler doğrultusunda art planda çalışan kapalı kripto madencisi otomatik olarak başlatılıyor yahut durduruluyor.

Android Truva atı ayrıyeten ele geçirilen cihaza BTMOB RAT da kuruyor. Malware-as-a-Service (MaaS) modeliyle satılan bu araç, saldırganlara cihaz üzerinde tam uzaktan kontrol sağlıyor. BTMOB; müsaadeleri otomatik olarak verebilme, sistem bildirimlerini gizleyebilme ve PIN, desen ve parola üzere ekran kilidi bilgilerinin ele geçirilmesine yönelik mekanizmalar içeriyor. Ziyanlı yazılım ayrıyeten saldırganların ön ve art kameralara erişmesine, GPS pozisyonunu izlemesine ve hassas bilgileri daima olarak toplamasına olanak tanıyor.

BeatBanker, sistemden kaldırılmasını zorlaştırmak için kalıcılık düzenekleri da kullanıyor. Ziyanlı yazılım, ön planda sabit bir bildirim göstererek ve art planda sessiz medya oynatma içeren bir foreground servis çalıştırarak işletim sisteminin ziyanlı süreci sonlandırmasını engellemeyi amaçlıyor.

Kaspersky eserleri bu tehdidi HEUR:Trojan-Dropper.AndroidOS.BeatBanker ve HEUR:Trojan-Dropper.AndroidOS.Banker.* olarak tespit ediyor.

Mobil tehditlere karşı korunmak için Kaspersky’nin önerileri

Uygulamaları yalnızca Apple App Store ve Google Play üzere resmi uygulama mağazalarından indirin. Lakin resmi mağazalardan indirilen uygulamaların da her vakit büsbütün inançlı olmayabileceğini unutmayın.
Uygulama yorumlarını kesinlikle denetim edin, yalnızca resmi web sitelerindeki bağlantıları kullanın ve uygulama ziyanlı çıkarsa bunu tespit edip engelleyebilecek Kaspersky Premium gibi sağlam bir güvenlik çözümü yükleyin.
Kullandığınız uygulamaların izinlerini dikkatle inceleyin. Özellikle Erişilebilirlik Hizmetleri (Accessibility Services) gibi yüksek riskli müsaadeler kelam konusu olduğunda onay vermeden evvel iki sefer düşünün.
İşletim sisteminizi ve değerli uygulamalarınızı güncellemeler yayınlandıkça yeni tutun. Pek çok güvenlik açığı, yazılımın aktüel sürümlerini yükleyerek giderilebilir.