Kaspersky Lab araştırmacıları mobil bankacılık uygulamalarını hedefleyen Truva atı Faketoken’in yeni bir sürümünü keşfetti.
Zararlı yazılımın yeni sürümü popüler taksi uygulamalarından kullanıcıların kimlik bilgilerini çalıyor.
Mobil uygulama pazarı büyümeye devam ederken, gizli kalması gereken finansal bilgilerimizi kullanan uygulamaların da sayısı her geçen gün artıyor. Bunlara kullanıcıların kredi kartı bilgilerine gereksinim duyan taksi ve yolculuk paylaşımı uygulamaları da dahil. Dünya çapında milyonlarca Android cihaza yüklenmiş olan bu uygulamalar, çok geçmeden, mobil bankacılık uygulamalarını hedef alan zararlı yazılımlarının kabiliyet alanını genişleten siber suçluların hedefi haline geldi.
Faketoken’in yeni sürümü, uygulamaları canlı olarak takip ediyor ve kullanıcı belirli bir uygulamayı çalıştırdığında kendi oltalama penceresini uygulamanın üzerine bindirerek kurbanının kredi kartı bilgilerini çalıyor. Truva atının arayüzü, renk şeması ve logosu söz konusu uygulamalarla tıpa tıp aynı olduğundan, kullanıcıya hiç hissettirmeden görünmez bir katman olarak uygulamanın üzerine biniyor. Kaspersky Lab’ın araştırmalarının sonucunda, suçluların bu zararlı yazılımla dünya çapında kullanılan en popüler taksi ve yolculuk paylaşımı hizmetlerini hedefledikleri ortaya çıktı.
Dahası, Truva atı cihaza gelen tüm SMS mesajlarını da çalarak kendi komuta ve kontrol sunucusuna yönlendiriyor. Böylece suçlular bir banka tarafından gönderilen tek seferlik onay kodlarına veya taksi ve yolculuk paylaşımı hizmetlerinden gönderilen diğer mesajlara ulaşabiliyor. Faketoken’in söz konusu sürümü, kullanıcıların yaptığı aramaları dinleyebiliyor, kaydedebiliyor ve oluşan veriyi komuta ve kontrol sunucusuna gönderebiliyor.
Zararlı yazılımların kendilerini başka uygulamaların üzerine bindirmesine birçok mobil uygulamada rastlanıyor. Kaspersky Lab geçtiğimiz yıl Faketoken’in çeşitli programların, oyunların ve sıklıkla da Adobe Flash Player’ın kılığına girerek dünya çapında 2000’den fazla finansal uygulamaya saldıran bir sürümünü tespit ettiğini bildirmişti. Faketoken, o zamandan bu yana geliştirilmeye devam ederek faaliyet alanını genişletmiş görünüyor.
Kaspersky Lab güvenlik uzmanlarından Viktor Chebyshev, konuyla ilgili olarak şöyle diyor: “Siber suçluların faaliyetlerini finansal uygulamalardan, taksi ve yolculuk paylaşımı hizmetleri de dahil olmak üzere başka alanlara genişletmiş olmaları, bu uygulamaların geliştiricilerinin kullanıcı güvenliğine daha fazla önem vermeye başlaması gerektiğini gösteriyor. Bankacılık sektörü dolandırıcılık taktiklerine alışkın ve dolayısıyla kritik finansal bilgilerin çalınması riskini bir hayli düşürecek güvenlik teknolojileri uygulamalarına entegre ettiler. Belki de artık finansal işlemler gerçekleştiren diğer hizmetlerin de bu adımları atması gerekiyordur. Faketoken’in yeni sürümü şu an için ağırlıklı olarak Rus kullanıcıları hedefliyor, fakat saldırıların coğrafyası gelecekte kolaylıkla genişleyebilir. Bunu daha önce Faketoken’in eski sürümünde ve bankacılığı hedef alan başka yazılımlarda gördük.”
Araştırmacılar Faketoken’in seyahat ve otel rezervasyonu uygulamaları, trafik cezası ödeme uygulamaları, Android Pay ve Google Play Market gibi diğer bazı popüler mobil uygulamalara da saldırdığını tespit etti.