Banker Android’in güncellenmiş bir sürümü (yeni sekmede açılır) casus yazılım tespit edildi, kurbanın banka bilgilerini ve hatta bazı durumlarda muhtemelen parayı çaldı.
Microsoft’tan siber güvenlik araştırmacılarına göre (yeni sekmede açılır), bilinmeyen bir tehdit aktörü, insanları TrojanSpy:AndroidOS/Banker.O’yu indirmeleri için kandırmaya çalıştığı bir smishing kampanyası (SMS phishing) başlattı. Bu bir kötü amaçlı yazılımdır (yeni sekmede açılır) iki faktörlü kimlik doğrulama (2FA) kodları, hesap oturum açma ayrıntıları ve diğer kişisel olarak tanımlanabilir bilgiler (PII) dahil olmak üzere her türlü hassas bilgiyi çıkarabilen varyant.
Bu saldırıyı özellikle endişelendiren şey, tüm operasyonun ne kadar gizlice çalıştığıdır.
Ana izinlerin verilmesi
Kullanıcı kötü amaçlı yazılımı indirdikten sonra MainActivity, AutoStartService ve RestartBroadCastReceiverAndroid gibi belirli izinleri vermeleri gerekir.
Bu, aramaları engellemesine, arama günlüklerine, mesajlara, kişilere ve hatta ağ bilgilerine erişmesine olanak tanır. Kötü amaçlı yazılım, bunları yaparak, SMS yoluyla gelen iki faktörlü kimlik doğrulama kodlarını alıp okuyabilir ve kurbanın şüpheli bir şeyden şüphelenmediğinden emin olmak için bunları silebilir.
Daha da kötüsü, uygulamaya sessiz komut verilmesine izin verilir, bu da SMS yoluyla gelen 2FA kodlarının tamamen sessiz bir şekilde alınabileceği, okunabileceği ve silinebileceği anlamına gelir – bildirim sesi yok, titreşim yok, ekran ışığı yok, hiçbir şey yok.
Kampanyanın arkasındaki tehdit aktörleri bilinmiyor, ancak Microsoft’un bildiği şey, ilk olarak 2021’de görülen ve o zamandan beri önemli ölçüde yükseltilen uygulamaya uzaktan erişilebildiği.
Tam olarak kaç kişinin etkilendiğini belirlemek zor olduğu için saldırının kapsamı da bilinmiyor. Geçen yıl, Banker’ın yalnızca Hintli tüketicilere saldırdığı gözlemlendi ve kimlik avı SMS’lerinin Hindistan ICICI bankasının logosunu taşıdığı göz önüne alındığında, Hintli kullanıcıların bu sefer de hedefte olduğunu varsaymak güvenli.
Araştırmacılar, “Kötü amaçlı APK’lardan bazıları, araştırdığımız sahte uygulamayla aynı Hint bankasının logosunu da kullanıyor; bu, aktörlerin kampanyayı sürdürmek için sürekli olarak yeni sürümler ürettiğini gösterebilir” dedi.
Aracılığıyla: Kayıt (yeni sekmede açılır)