22 Ocak 2019
  • İstanbul6°C
  • Ankara0°C

OPTİMİZATİON ANDROİD... BU UYGULAMAYI TELEFONLARINA İNDİRENLER DİKKAT!..

Antivirüs şirketi ESET, pil optimizasyon uygulaması gibi görünen ancak PayPal ödeme sistemleri hesaplarından para çalmaya odaklanan yeni bir Android truva atı tespit etti.

Optimization Android... BU UYGULAMAYI TELEFONLARINA İNDİRENLER DİKKAT!..

18 Aralık 2018 Salı 15:00

Bu zararlı, PayPal’ın iki faktörlü kimlik koruma (2FA) doğrulamasını bile atlatabilen yetenekte.

İlk olarak Kasım 2018’de ESET tarafından tespit edilen kötü amaçlı yazılım, bankacılık truva atı yeteneklerini, Android erişilebilirlik hizmetlerinin kötüye kullanımı ile birleştiriyor. Ve bu haliyle de resmi PayPal uygulaması kullanıcılarını hedef alıyor.

PayPal artık Türkiye'de hizmet vermese de PayPal'ın global yaygınlığı nedeniyle konu, tüm küresel internet kullanıcılarını ilgilendiriyor. Çünkü zararlı yazılım, kendini bir pil optimizasyon aracı (Optimization Android) olarak gizliyor ve Google Play harici uygulama mağazaları tarafından dağıtılıyor.

Nasıl çalışıyor?

Kurbanların PayPal hesaplarından para çalma işlemi, kötü amaçlı ‘erişilebilirlik‘ hizmetinin etkinleştirilmesini gerektiriyor. Bu istek kullanıcıya zararsız gibi görünen “istatistikleri etkinleştir” talebiyle geliyor. Resmi PayPal uygulaması hedeflenen cihazda yüklenmişse, kötü amaçlı yazılım kullanıcıya bu uygulamayı başlatmasını isteyen bir bildirim gönderiyor. Kullanıcı bir kez PayPal uygulamasını açarak giriş yaptığında, zararlı erişilebilirlik servisi devreye giriyor ve kullanıcının gerçekleştirdiği tıklamaları taklit ederek saldırganın PayPal adresine para gönderiyor.

1000 EURO TRANSFER ETMEYE ÇALIŞTI

ESET Güvenlik Araştırmacısı Lukas Stefanko'nun gerçekleştirdiği analiz sırasında uygulama 1000 Euro transfer etmeye çalıştı. Bununla birlikte, kullanılan para birimi kullanıcının konumuna da bağlıdır. Lukas Stefanko'nun tespitlerine göre tüm süreç yaklaşık 5 saniye sürüyor ve durumdan şüphelenmeyen bir kullanıcı için bu süre zarfında müdahale edebilmenin bir yolu yok. Çünkü kötü amaçlı yazılımın işleyişi, aslında PayPal giriş bilgilerini çalmaya dayanmıyor. Bunun yerine kullanıcıların resmi PayPal uygulamasına giriş yapmasını bekliyor ve aynı zamanda PayPal’ın iki faktörlü kimlik doğrulamasını (2FA) da atlatıyor. 2FA etkinleştirilmiş kullanıcılar, normalde giriş sırasında ekstra bir doğrulama aşamasını daha geçerlerken, bu truva atı saldırısında 2FA kullanmayan kullanıcılar kadar korunmasız duruma geliyorlar.

SALDIRI BİRDEN FAZLA KEZ GERÇEKLEŞEBİLİR

Saldırganlar, yalnızca kullanıcının PayPal bakiyesi yetersiz ve hesaba bağlı bir ödeme kartı olmadığı durumlarda başarısız oluyor. Kötü amaçlı erişilebilirlik hizmeti, PayPal uygulaması her başlatıldığında etkinleştiriliyor. Yani saldırı birden çok kez gerçekleşebiliyor.

PAYPAL KONUYLA İLGİLİ BİLGİLENDİRİLDİ

ESET, bu truva atı tarafından kötü amaçla kullanılan tekniği ve saldırganın çalıntı parayı aktarmak için kullandığı PayPal hesabını PayPal’a bildirdi. Ayrıca ESET ürünleri bu tehditleri “Android/Spy.Banker.AJZ“ ve “Android/Spy.Banker.AKB“ olarak algılıyor ve engelliyor.

TRUVA ATI BAŞKA İŞLER DE YAPIYOR

ESET tarafından “Android/Spy.Banker.AJZ“ adıyla etiketlenen bu yetenekli truva atı,
Google Play, WhatsApp, Skype, Viber ve Gmail gibi meşru sayfaların üzerini kaplayan ekranlar oluşturabiliyor ve kimlik avı amacıyla kredi kartı bilgilerini talep edebiliyor. “Android/Spy.Banker.AJZ“ ayrıca şunları da yapabiliyor:

– SMS mesajlarını kesmek, göndermek, silmek ve varsayılan SMS uygulamasını değiştirmek (iki aşamalı kimlik doğrulamayı devre dışı bırakmak  için).
– Kişi listesini takip etmek.
– Arama yapmak ve iletmek.
– Yüklenen uygulamaların listesini edinmek.
– Uygulamayı yüklemek, yüklenen uygulamayı çalıştırmak.

Nasıl güvende kalınır?

PayPal’i hedefleyen truva atını yüklediyseniz, banka hesabınızı şüpheli işlemler için kontrol etmenizi ve internet bankacılığı şifrenizi/PIN kodunuzu ve Gmail şifrenizi değiştirmeyi düşünmenizi öneririz. Yetkisiz PayPal işlemleri olması durumunda, herhangi bir sorunu PayPal Çözüm Merkezine iletebilirsiniz.

Bu truva atı tarafından görüntülenen kilit kaplama ekranları nedeniyle kullanılamaz duruma gelen cihazlar için Android’in Güvenli Modu’nu kullanmalarını ve Settings > (General) > Application manager/Apps bölümünden “Optimization Android” adlı uygulamayı silmelerini öneriyoruz.

Yorumlar
UYARI: Küfür, hakaret, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış,
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.
banner300x250