Haber Detayı
Kaspersky Lab ‘da çalışan güvenlik araştırmacıları yeni bit tür Android Bankacılık Truva Atı keşfetti. Faketoken olarak adlandırılan bu zararlı yazılımın yetenekleri arasında, telefon sahibinin yaptığı görüşmelerin kaydını kaydedebiliyor.
Bu zararı yazılımın daha gelişmiş sürümü olan Faktoken.q (mobil bankacılık Truva atı) toplu sms atarak, kullanıcılara resim dosyası indirmeye çalıştırıyor, bu resim dosyası aslında bir zararlı yazılım içermekte.
Bu zararlı yazılım indirdikten sonra, ilk olarak kendisini çalıştırmak için gerekli kütüphaneleri ve ana kodu kuruyor. Kurulduktan sonra ise, kendi kısayol simgesini gizleyerek, telefondaki her şeyi izliyor.
 |
İlk olarak Truva atı, kullanıcının çağrılarını ele geçirmeye çalışıyor. Telefondan gelen/giden herhangi bir çağrı olduğu zaman, bu çağrıyı kaydederek, uzak sunucuya yolluyor. Daha sonra, bu zararlı yazılım telefonda yüklü olan uygulamaları tarıyor.
Faketoken.q Truva Atı, taklidini yapabileceği uyguları tespit ettiği zaman, hemen uygulamanın ekranını kendi ekranıyla değiştirir. Bunu başardığı zaman, Android sistemlerine ait olan bir özelliği kullanarak, bu ekranı daima diğer uygulamaların üstünde tutuyor. Birçok popüler uygulama bu özelliği kullanıyor. ( Messenger, dosya yöneticisi v.s.)
Taklidini yapabileceği uygulamayı bulduktan sonra, tıpkı onun gibi bir arayüz çıkartarak, uygulamada girilen kredi kartı bilgilerini kolayca çalıyor. Etkilediği uygulamalar arasında,
- Mobil Bankacılık
- Google Play Store
- Ulaşım Rezervasyonu / Bilet alımı
- Otel Rezervasyonu
- Taksi uygulamaları
Bu uygulamaları taklit ettikten sonra, siz normal taksi uygulamasına ücret ödeyeceğinizi sanırken aslında;
- Kredi Kartı Numaranızı
- Kredi Kartı sahibinin Ad ve Soyadı
- Kartın Son Kullanma Tarihini
- Kartın CVC Numarasını
Zararlı yazılıma vermiş oluyorsunuz, dahası uygulamaya bu bilgiler girildikten sonra, 2 aşamalı bankacılık doğrulamanız açık olsa dahi (SMS), gelen sms mesajını kullanıcıya göstermeden içindeki kodu çıkartıp, kendi istediği kadar para transferini istediği hesaba sağlıyor. Bu işlem SMS onaylı olduğu için muhtemelen bankadan da parayı geri almanız mümkün olmuyor. Bu işlemler olurken de SMS dışında bir bildirim almadığınız için yapılan para transferinden haberiniz olmuyor.
 |
Resimde , bir taksi mobil uygulamasının kart bilgilerini isteme ekranı gözükmekte..
Zararlı yazılımın Kaynak Kod yapısına bakacak olursak;
Zararlı kodun ana işlevlerinin yer aldığı kısım . dat uzantı ve kriptolanmış vaziyette,
 |
Bu .dat veri dosyası kriptosu çözüldükten sonra, kaynak kod kısımlarının bazılarına ulaşıla bilinmiş durumda,
 |
Bu kısımda kredi kart çeşitleri tanımlanmış iken, bir sonraki ekranda ise;
 |
Uygulamanın takip ettiği uygulama listesinin bir kısmına ulaşılmış. Yazılım şu an Rusya’yı hedef almış olarak görünse de, Faketoken.q’ ın farklı bir türevinin geliştirilmesi de oldukça olası durumda, bu ve buna benzer zararlı yazılımlar her geçen gün daha çok sistemi etkileme/zarar verme yolunda hızlıca ilerliyorlar.
Peki Korunmak İçin Ne Yapmalıyız?
- İlk olarak mutlaka, Ayarlar --> Güvelik --> kısmındaki, bilinmeyen uygulamaları yükle seçeneği mutlaka devre dışı bırakılmalıdır. Bilmediğiniz hiçbir siteden uygulama indirilmemelidir.
 |
- Her zaman yüklediğimiz uygulamaların istemiş olduğu izinlere dikkat edilmeli, ( Google Play Store resmi uygulama merkezinde dahi Truva atı bulaşmış olan yazılımların olduğu biliniyor) Örnek olarak bir fener uygulaması sizden SMS okuma/yollama izni, mikrofonu kullanma izni istiyorsa mutlaka bu tarz uygulamaların yüklenmesinden kaçınılmalıdır.
- Son olarak, en önemlisi günümüzde mevcut olan Android telefon ve tabletler için mutlaka bir mobil anti-virüs satın alınmalı ve kullanılmalıdır.
Bu 3 basit ama önemli ayrıntıya dikkat edilmesi, bu tarz zararlı yazılımların sisteme bulaşmasını büyük oranda önleyecektir.
Çeviri: Gökhan – BGYS Ekibi
Kaynak:
https://fortiguard.com/encyclopedia/virus/7080955
https://www.kaspersky.com/blog/faketoken-trojan-taxi/18002/
https://securelist.com/booking-a-taxi-for-faketoken/81457/
https://www.f-secure.com/v-descs/trojan_android_faketoken.shtml
https://bestsecuritysearch.com/faketonen-android-malware-ransomware-features/