Global antivirüs yazılım kuruluşu ESET'in bildirimlerine göre, kredi kartı bilgilerine ulaşmak için mobil bankacılık müşterilerini sahte sayfalara yönlendiren yeni bir zararlı yazılım tespit edildi.

“Android/Spy.Banker.AHR” olarak tespit edilen bu zararlı yazılım, kredi kartı limitlerini arttırmayı vaat ederken sahte formlarla kart ayrıntılarını ve internet bankacılığı bilgilerini ele geçirmeye odaklanıyor. Eh haliyle müşteriler de bilgilerini girerek mağdur olma yolunda ilk adımı atıyorlar.

Bankaların güvenlik önlemlerini aşmakta zorlanan siber suçlular, müşterileri avına düşürmek amacıyla farklı yollar denemeye devam ediyorlar. Yapılan araştırmayla ilk tespitlere göre üç Hint bankasının müşterilerini hedef alan yeni bir bankacılık truva atı ile ilgili uyarılarda bulunuldu.

Resmi Google Play mağazasına sızmayı başaran bu sahte bankacılık uygulamaları, banka müşterilerine kredi kartı limitlerini yükseltmeyi vaat ederek ulaşıyor. Sahte uygulamalar, sahte formlar yoluyla kredi kartı ayrıntılarını ve internet bankacılığı bilgilerini ele geçiriyor.

Limit arttırmaya limitsiz zarar veren virüs!

Bu aşamada kurbanlardan çalınan veriler açık bir sunucu üzerinden çevrimiçi şekilde, düz metin olarak sızdırılıyor, ki bu da verileri herkese açık hale getiriyor. Hayal etsenize, tüm bilgileriniz herkese açık bir hal alıyor...

Sahte uygulamalar Haziran ve Temmuz 2018'de Google Play'e yüklendi ve yapılan gerekli uyarılar sonucunda mağazadan kaldırıldı.

Kaldırıldı karldırılmasına ancak dolandırılan insan sayısı da azımsanacak kadar az değildi Google kaldırana kadar. Bu açıdan Google'ın bir önlem alması ve ya ilkelerini tekrardan gözden geçirmesi gerektiğini düşünüyorum.

Uygulamalar, her biri farklı bir Hintli bankayı taklit eden üç ayrı geliştirici tarafından yüklendi; ancak veriler üç uygulamanın kaynağının da aynı saldırgana dayandığını gösteriyor.

Uygulamalar nasıl çalışıyor?

Güvenlik Araştırmacısı Lukas Stefanko’nun verdiği bilgiye göre üç uygulama da aynı prosedürü izliyor.

Başlatmayla birlikte, kredi kartı bilgilerininin talep edildiği bir form beliriyor. Kullanıcılar formu doldurup ‘Gönder’ tuşuna basarsa, internet bankacılığı giriş bilgilerinin istendiği başka bir forma yönlendiriliyor. İlginç olarak, tüm alanlar ‘zorunlu’ (*) olarak işaretlense de, her iki form da şüpheli bir durumun göstergesi olarak boş şekilde de gönderilebiliyor.

Her iki form da doldurulup ya da doldurulmadan tıklandığında, kullanıcı üçüncü ve son bir sayfaya yönlendiriliyor ve bir müşteri hizmetleri yöneticisinin kendileriyle iletişime geçeceği belirtiliyor. Elbette, hiç kimse kurbanlarla temas kurmuyor ve uygulamanın bu noktanın ötesinde başka hiçbir işlevi bulunmuyor.

Elde edilen bilgiler herkese açık hale geliyor!

Bu arada, sahte formlara girilen bilgiler düz metin olarak saldırganın sunucusuna gönderiliyor. Çalınan bilgileri listeleyen sunucuya herhangi bir kimlik doğrulama gerekmeden, bağlantıya sahip olan herkes tarafından erişilebiliyor.

Bu, kurbanlar açısından potansiyel zararı artırıyor çünkü hassas bilgileri, yalnızca saldırganın kullanımında değil, potansiyel olarak herkesin karşısına çıkabilir durumda.

Nasıl güvende kalınır?

Güvenlik Araştırmacısı Lukas Stefanko, bu zararlı uygulamalardan herhangi birini yüklemiş olanlara, bunları hemen kaldırmayı tavsiye ediyor.

“Banka hesabınızı hemen kontrol edin ve internet bankacılığı giriş şifrenizin yanı sıra kredi kartınızın pin kodunu da değiştirin” diyen Lukas Stefanko, kimlik avı uygulamalarının kurbanı olmamak için telefon kullanıcılarına şu önerilerde bulundu:

Yalnızca bankanızın resmi sitesiyle bağlantılı olan mobil bankacılık uygulamalarına güvenin.
Güvenliğinden ve meşruluğundan şüphe duyduğunuz çevrimiçi formlara asla hassas bankacılık bilgilerinizi girmeyin.
Google Play'den uygulama indirirken indirilme sayısına, uygulama puanına ve değerlendirmelere dikkat edin.
Android cihazınızın güncel olduğunda emin olun ve güvenilir bir güvenlik çözümü kullanın.(Ünsal Sarıtoprak/Tenkoljoioku)