DİKKAT! Pil optimizasyon aracı kılığındaki zararlı, hesabınızdan para çalıyor!
Antivirüs şirketi ESET, pil optimizasyon uygulaması gibi görünen ancak PayPal ödeme sistemleri hesaplarından para çalmaya odaklanan yeni bir Android truva atı tespit etti. Bu zararlı, PayPal’ın iki faktörlü kimlik koruma (2FA) doğrulamasını bile atlatabilen yetenekte.
Abone olİlk olarak Kasım 2018'de ESET tarafından tespit edilen kötü
amaçlı yazılım, bankacılık truva atı yeteneklerini, Android
erişilebilirlik hizmetlerinin kötüye kullanımı ile birleştiriyor.
Ve bu haliyle de resmi PayPal uygulaması kullanıcılarını hedef
alıyor.
PayPal artık Türkiye’de hizmet vermese de PayPal’ın global
yaygınlığı nedeniyle konu, tüm küresel internet kullanıcılarını
ilgilendiriyor. Çünkü zararlı yazılım, kendini bir pil optimizasyon
aracı (Optimization Android) olarak gizliyor ve Google Play harici
uygulama mağazaları tarafından dağıtılıyor.
Nasıl çalışıyor?
Kurbanların PayPal hesaplarından para çalma işlemi, kötü amaçlı
‘erişilebilirlik‘ hizmetinin etkinleştirilmesini gerektiriyor. Bu
istek kullanıcıya zararsız gibi görünen “istatistikleri
etkinleştir” talebiyle geliyor. Resmi PayPal uygulaması hedeflenen
cihazda yüklenmişse, kötü amaçlı yazılım kullanıcıya bu uygulamayı
başlatmasını isteyen bir bildirim gönderiyor. Kullanıcı bir kez
PayPal uygulamasını açarak giriş yaptığında, zararlı
erişilebilirlik servisi devreye giriyor ve kullanıcının
gerçekleştirdiği tıklamaları taklit ederek saldırganın PayPal
adresine para gönderiyor.
1000 Euro transfer etmeye çalıştı
ESET Güvenlik Araştırmacısı Lukas Stefanko’nun gerçekleştirdiği
analiz sırasında uygulama 1000 Euro transfer etmeye çalıştı.
Bununla birlikte, kullanılan para birimi kullanıcının konumuna da
bağlıdır. Lukas Stefanko’nun tespitlerine göre tüm süreç yaklaşık 5
saniye sürüyor ve durumdan şüphelenmeyen bir kullanıcı için bu süre
zarfında müdahale edebilmenin bir yolu yok. Çünkü kötü amaçlı
yazılımın işleyişi, aslında PayPal giriş bilgilerini çalmaya
dayanmıyor. Bunun yerine kullanıcıların resmi PayPal uygulamasına
giriş yapmasını bekliyor ve aynı zamanda PayPal'ın iki faktörlü
kimlik doğrulamasını (2FA) da atlatıyor. 2FA etkinleştirilmiş
kullanıcılar, normalde giriş sırasında ekstra bir doğrulama
aşamasını daha geçerlerken, bu truva atı saldırısında 2FA
kullanmayan kullanıcılar kadar korunmasız duruma geliyorlar.
Saldırı birden fazla kez gerçekleşebilir
Saldırganlar, yalnızca kullanıcının PayPal bakiyesi yetersiz ve
hesaba bağlı bir ödeme kartı olmadığı durumlarda başarısız oluyor.
Kötü amaçlı erişilebilirlik hizmeti, PayPal uygulaması her
başlatıldığında etkinleştiriliyor. Yani saldırı birden çok kez
gerçekleşebiliyor.
PayPal konuyla ilgili bilgilendirildi
ESET, bu truva atı tarafından kötü amaçla kullanılan tekniği ve
saldırganın çalıntı parayı aktarmak için kullandığı PayPal hesabını
PayPal'a bildirdi. Ayrıca ESET ürünleri bu tehditleri
“Android/Spy.Banker.AJZ“ ve “Android/Spy.Banker.AKB“ olarak
algılıyor ve engelliyor.
Truva atı başka işler de yapıyor
ESET tarafından “Android/Spy.Banker.AJZ“ adıyla etiketlenen bu
yetenekli truva atı,
Google Play, WhatsApp, Skype, Viber ve Gmail gibi meşru sayfaların
üzerini kaplayan ekranlar oluşturabiliyor ve kimlik avı amacıyla
kredi kartı bilgilerini talep edebiliyor. “Android/Spy.Banker.AJZ“
ayrıca şunları da yapabiliyor:
• SMS mesajlarını kesmek, göndermek, silmek ve varsayılan SMS
uygulamasını değiştirmek (iki aşamalı kimlik doğrulamayı devre dışı
bırakmak için).
• Kişi listesini takip etmek.
• Arama yapmak ve iletmek.
• Yüklenen uygulamaların listesini edinmek.
• Uygulamayı yüklemek, yüklenen uygulamayı çalıştırmak.
Nasıl güvende kalınır?
PayPal'i hedefleyen truva atını yüklediyseniz, banka hesabınızı
şüpheli işlemler için kontrol etmenizi ve internet bankacılığı
şifrenizi/PIN kodunuzu ve Gmail şifrenizi değiştirmeyi düşünmenizi
öneririz. Yetkisiz PayPal işlemleri olması durumunda, herhangi bir
sorunu PayPal Çözüm Merkezine iletebilirsiniz.
Bu truva atı tarafından görüntülenen kilit kaplama ekranları
nedeniyle kullanılamaz duruma gelen cihazlar için Android'in
Güvenli Modu'nu kullanmalarını ve Settings > (General) >
Application manager/Apps bölümünden "Optimization Android" adlı
uygulamayı silmelerini öneriyoruz.