Kaspersky Lab uzmanları, mobil bankacılık Truva Atı (Trojan) Svpeng’in modifiye edilmiş bir sürümünün Google’ın reklam ağı AdSense’in içerisinde gizlendiğini keşfetti. Svpeng, Temmuz ayı ortasından bu yana yaklaşık 318.000 kullanıcının Android cihazlarında tespit edilirken, yayılma hızı ise günde 37.000 kullanıcıya kadar yükseldi. Banka kartı bilgileri telefon rehberi ve arama geçmişi gibi kişisel bilgileri çalmayı hedefleyen saldırganlar, Google Chrome’un Android sürümündeki bir yazılım hatasından faydalanıyor. Google’ın söz konusu hatayı düzeltmesinin ardından, Kaspersky Lab uzmanları saldırının tüm detaylarını paylaşıyor.
Chrome’un Android sürümündeki yazılım açığını kullandığı bilinen ilk Svpeng saldırısına Temmuz ayı ortalarında Rus bir haber sitesinde rastlandı. Saldırı sırasında Truva Atı, kendisini sessizce site ziyaretçilerinin Android cihazlarına gizledi.
Android cihazlarda Chrome Kullananlar Hedefte
Kaspersky Lab tarafından yapılan araştırmada, saldırı sürecinin Google AdSense’e yerleştirilen ve zararlı yazılımın bulaştığı bir reklamla başladığı ortaya çıktı. Söz konusu reklam, yazılımın bulaşmadığı sitelerde normal bir şekilde görüntüleniyor, Truva Atı sadece Android cihazlarda Chrome kullanan ziyaretçilerin cihazlarına iniyor. Svpeng kendisini önemli bir tarayıcı güncellemesi veya popüler bir uygulama olarak gizliyor ve kullanıcıları kuruluma bu şekilde ikna ediyor. Zararlı yazılım çalışmaya başlar başlamaz, yüklenmiş uygulamalar listesinden silinerek kullanıcıdan aygıt yöneticisi hakları istiyor ve böylece tespit edilmesi zorlaşıyor.
Saldırganların, Google Chrome’un Android için geliştirilen sürümünde yer alan bazı kilit güvenlik özelliklerini atlatmanın bir yolunu buldukları anlaşılıyor. Normal şartlarda, bir APK dosyası mobil bir cihaza web linki ile indirildiğinde, tarayıcı potansiyel olarak tehlikeli bir objenin indirilmek üzere olduğu konusunda bir uyarı yapıyor. Bu örnekte ise dolandırıcıların, bir uyarı olmaksızın APK dosyalarının indirilmesini sağlayan bir güvenlik açığı buldukları görülüyor. Sorunu tespit eden Kaspersky Lab, konuyu Google’a rapor etmiş bulunuyor ve yazılım açığını kapatması beklenen yamanın, Android cihazlarda Chrome’un en yakın güncellemesiyle yayınlanması bekleniyor.
Kaspersky Lab Zararlı Yazılım Analisti Nikita Buchka konuyla ilgili olarak: “Svpeng örneğinde olduğu gibi, şirketler arasındaki işbirliğinin gerekliliğini bir kez daha görüyoruz. Kullanıcıları siber saldırılardan korumak ortak amacımız ve bunun için birlikte çalışmamız hayati önem taşıyor. Android ekosistemini daha güvenli hale getirme konusunda yardımcı olabilmek bizi mutlu ediyor. Bilgilendirmemize hızlıca yanıt veren Google’a teşekkür ederiz. Ayrıca, kullanıcılara da güvenilir olmayan kaynaklardan uygulamalar indirmemelerini, uygulamalara verdikleri izinler konusunda dikkatli olmalarını ısrarla öneriyoruz.” şeklinde yorum yapıyor.
Kaspersky Lab kullanıcılara, Android cihazlardaki Chrome tarayıcısını en yeni sürümüne güncellemelerini, etkili bir güvenlik çözümü kullanmalarını ve zararlı yazılım üreticilerinin faydalandıkları araç ve teknikler konusunda bilgilenmelerini tavsiye ediyor.
Svpeng adlı mobil bankacılık Truva Atı, banka kartı bilgileri çalmak üzere tasarlanmış ve ayrıca arama geçmişi, SMS ve MMS mesajları, tarayıcı yer imleri ve adres defteri bilgilerini de topluyor. An olarak daha çok Rusça konuşulan ülkelere saldıran Svpeng’in küresel olarak yayılma potansiyeli bulunuyor. Yazılımın kendine has yayılma şekli sebebiyle, küresel çapta AdSense reklamı yayınlayan milyonlarca web sayfası da risk altında bulunuyor.
Kaspersky Lab, söz konusu zararlı yazılımı Trojan-Banker.AndroidOS.Svpeng.q adıyla tespit etmiş durumda.