Kötü amaçlı yazılımlar, özel verilerimizi tehdit etmeye devam ediyor. Son olarak, Godfather adı verilen Android truva atının yeni versiyonunun, enfekte cihazlarda sanal bir alan (sandbox) oluşturarak bankacılık ve kripto para uygulamalarını hedef aldığı bildirildi.
“TÜRKİYE’DEKİ 12 FARKLI BANKACILIK UYGULAMASI HEDEF ALINDI”
Zimperium tarafından yayımlanan bir raporda, Godfather yazılımının hassas bilgileri çaldığı ve ekran kilidi desenleri, PIN kodları ile parolalar gibi cihaz kilidi bilgilerini hedef aldığı vurgulandı.
İddialara göre, bu sanallaştırma tekniği yaklaşık on iki Türk finans kuruluşuna karşı uygulanmakta ve Godfather virüsü, Türkiye‘deki 12 farklı bankacılık uygulamasını tehdit ediyor.
GODFATHER VİRÜSÜ SALDIRILARINI NASIL GERÇEKLEŞTİRİYOR?
Haziran 2021’den bu yana aktif olduğu düşünülen Godfather, sızdırılmış Anubis bankacılık truva atı kodunu kullanarak dünya genelinde yüzlerce bankacılık ve kripto para uygulamasını hedef alıyor.
Kötü amaçlı yazılımın yakın zamanda tespit edilen bir versiyonu, enfekte cihazlarda bütüncül bir sanallaştırma çerçevesi kurarak bilgi hırsızlığını daha da geliştirmektedir. Bu sanallaştırılmış ortamda, hedeflenen uygulamaların kopyaları çalıştırılmakta.
Godfather, uygulama sanallaştırmasını destekleyen açık kaynak araçları kullanarak yeni sahte katman saldırıları gerçekleştirmektedir. Hedef alınan uygulamalar, bir ana uygulama (host app) aracılığıyla sanal bir dosya sistemine yükleniyor.
KULLANICI FARKINA VARMADAN HER İŞLEMİ, DOKUNUŞU İZLENİYOR
Kötü amaçlı yazılım, Android cihazda yüklü uygulamaların bir listesini oluşturuyor ve bankacılık uygulamalarından temel verileri çekerek daha sonra sanal ortamda bu uygulamaları başlatmak için kullanılan bir önbellek dosyası yaratıyor.
Bir kullanıcı uygulamasını başlattığında, farkına varmadan bu sanallaştırılmış sürüme yönlendiriliyor ve burada yapılan her işlem, dokunuş ve veri girişi kötü amaçlı yazılım tarafından gözlemleniyor ve kontrol ediliyor.
Bu yaklaşım, saldırganlara kullanıcının tüm eylemlerine tam erişim sağlıyor ve hassas bilgilerle kimliklerin gerçek zamanlı olarak ele geçirilmesine imkan tanıyor. Ek olarak, kötü amaçlı yazılım uzaktan kontrol edilerek sanallaştırılmış uygulamanın davranışı üzerinde değişiklikler yapılabiliyor ve güvenlik kontrolleri aşılabiliyor.
TESPİT EDİLMEMEK AMACIYLA DEĞİŞİKLİKLER YAPIYOR
Kötü amaçlı yazılımın son versiyonu, APK dosyalarının ZIP formatını değiştiriyor ve Android Manifest dosya yapısını modifiye ediyor; bu işlemler, tespit edilmemek amacıyla gerçekleştiriliyor. Ancak, hâlâ Android’in erişilebilirlik hizmetlerini kullanmakta ve kullanıcıları zararlı faaliyetler için gerekli izinleri kandırarak almaya devam ediyor.
500 UYGULAMAYI HEDEF ALABİLECEK KAPASİTEDE
Godfather’ın, bankacılık, kripto para, iletişim, e-ticaret, sosyal medya ve hizmet uygulamaları da dâhil olmak üzere yaklaşık 500 uygulamayı hedef alabilecek kapasitede olduğu belirtiliyor.
