Siber Güvenlik

HOOK Android Trojan, fidye yazılımı ekleyip 107 uzaktan komutla genişliyor.

teknomers
teknomers

Bankacılık Trojanları ve Ransomware Tehditleri: HOOK

Son zamanlarda, siber güvenlik araştırmacıları yeni bir antikası olan HOOK’un ortaya çıktığını duyurmuşlardır. Bu Android bankacılık trojanı, ransomware tarzı örtü ekranları ile kullanıcıları şantaj yapmaya yönlendirmeyi hedefliyor. Zimperium zLabs araştırmacısı Vishnu Pratapagiri, “Bu son varyantın önemli bir özelliği, kullanıcıyı ransom ödeme yapmaya zorlamak için tam ekran ransomware örtüsü uygulama yeteneğidir” şeklinde açıklamıştır. Kullanıcıya, bir cüzdan adresi ve ödeme miktarının yer aldığı bir uyarı mesajı gösterilir.

Contents

Yeni Varyantın Özellikleri

HOOK’un uzaktan başlatılan bir örtü uygulaması bulunuyor. C2 (komut ve kontrol) sunucusu tarafından “ransome” komutu gönderildiğinde, bu örtü devreye giriyor. Saldırgan, “delete_ransome” komutunu göndererek örtüyü kaldırabiliyor. HOOK’un ERMAC bankacılık trojanından türediği değerlendirilmektedir. ERMAC’ın kaynak kodu son zamanlarda internette ifşa edilmişti.

Diğer Android bankacılık kötü amaçlı yazılımlar gibi, HOOK da finansal uygulamaların üzerine sahte bir örtü ekranı yerleştirerek kullanıcıların kimlik bilgilerini çalabilmektedir. Ayrıca Android erişim hizmetlerini kötüye kullanarak dolandırıcılığı otomatikleştirme ve cihazları uzaktan yönetme yeteneğine sahiptir.

Bağlantılı Özellikler ve Komutlar

HOOK’un önemli özellikleri arasında, belirli telefon numaralarına SMS gönderme, kurbanın ekranını aktarma, ön kamera ile fotoğraf çekme ve kripto cüzdanlarla ilişkili çerezleri ve kurtarma ifadelerini çalma yer alıyor. Zimperium’a göre, bu son sürüm, 107 uzaktan komut destekliyor ve bunlardan 38’i yeni eklenmiştir. Yeni komutlar arasında:

  • ransome: Cihazın üzerinde ransomware örtüsü gösterir.
  • delete_ransome: Ransomware örtüsünü kaldırır.
  • takenfc: Sahte bir NFC tarama ekranı gösterir.
  • unlock_pin: Yanlış bir cihaz açma ekranı gösterir ve PIN kodunu çalmaya çalışır.
  • takencard: Bir Google Pay arayüzünü taklit ederek kredi kartı bilgilerini toplar.
  • start_record_gesture: Kullanıcı jestlerini kaydetmek için şeffaf bir örtü gösterir.

Bu yeni komutlar, bankacılık kötü amaçlı yazılımlarının nasıl daha sofistike hale geldiğini ve kullanıcıları kandırmak için aldatıcı yöntemlerin nasıl evrildiğini göstermektedir.

Yayılma Yöntemleri ve Tehditler

HOOK’un geniş bir ölçekle dağıtıldığı düşünülüyor. Saldırganlar, sahte phishing siteleri ve yanlış GitHub depoları aracılığıyla kötü amaçlı APK dosyalarını yayıyor. Diğer Android kötü amaçlı yazılım aileleri olan ERMAC ve Brokewell ile birlikte dağıtıldığı görülüyor. Zimperium, “HOOK’un evrimi, bankacılık trojanlarının hızla siber casusluk ve ransomware taktikleri ile birleştiğini gösteriyor” demektedir. Sürekli yeni özellikler eklenmesi ve geniş dağıtım ile bu tür tehdit aileleri, finansal kurumlar, işletmeler ve kullanıcılar için giderek daha büyük bir risk oluşturmaktadır.

Anatsa’nın Gelişimi

Zscaler’in ThreatLabs’ı, Anatsa bankacılık trojanının güncellenmiş bir versiyonunu duyurdu. Artık, Almanya ve Güney Kore de dahil olmak üzere dünya çapında 831 bankacılık ve kripto para hizmetini hedef alıyor. Kötü amaçlı yazılım, bir dosya yöneticisi uygulamasını taklit eden bir uygulama kullanıyor (paket adı: “com.synexa.fileops.fileedge_organizerviewer”) ve Anatsa’yı dağıtmak için dropper görevi görüyor.

Anatsa, ayrıca Android erişim hizmetleri için izin talep ediyor. Bu izinleri kötüye kullanarak, SMS mesajları göndermeye ve almaya, diğer uygulamaların üzerine içerik çizmeye olanak tanıyan ek izinler alıyor.

Tehlikeli Uygulamalar ve Durum Analizi

Güvenlik araştırmacıları, Google Play Store‘da çeşitli adware, maskware ve malware ailelerine ait 77 kötü amaçlı uygulama tespit etti. Bu uygulamalar, 19 milyondan fazla yüklemeye sahip. Maskware, yasal uygulamalar veya oyunlar gibi görünen, ama kötü amaçlı içerikleri gizleme teknikleri kullanan bir uygulama kategorisini ifade etmektedir. Joker olarak bilinen bir kötü amaçlı yazılımın Harly adındaki ticari versiyonları, Kaspersky tarafından 2022 yılında ilk kez tespit edilmiştir.

Himanshu Sharma, “Anatsa, tespit edilmekten kaçınmak için anti-analiz teknikleri ile gelişmeye devam ediyor” demektedir. Bu kötü amaçlı yazılım 150’den fazla yeni finansal uygulamayı hedefleyen destek eklemeleri ile sürekli evrim geçiriyor.

Özetle, bankacılık trojanları ve ransomware’ler arasındaki tehdit edici birliktelik, siber güvenlik endüstrisi için büyük bir endişe kaynağı olmaya devam ediyor. Kullanıcıların, bu tür siber tehditlere karşı daha dikkatli ve bilinçli olmaları önem taşımaktadır.

Güncel Siber Güvenlik Haberleri – 1

Android ve iOS için ücretsiz: Bu uygulamalar ve oyunlar şu anda ücretsizdir
Yapay Zeka Destekli Tehdit İstihbaratı Güvenlik Açıklarını Nasıl Çözer?
Samsung, Yeni Bir XR Kulaklık Üzerinde Google, Qualcomm, Microsoft ve Meta ile İşbirliği Yapacak: Rapor
Spring Framework için Yükseltmeler Durduruldu
Ağ Tabanlı Siber Güvenliğin Performansını Artırmak İçin Enea Qosmos Tehdit Tespiti SDK’sı Başlatıldı
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Norveç, Joachim Trier’in ‘Sentimental Value’ filmini En İyi Uluslararası Film adayı olarak seçti.
Sonraki Makale 2026 Dünya Beyzbol Klasikindeki 47 oyun yalnızca Netflix Japonya’da yayınlanacak.

Sanal Medya

Son Eklenenler

Breville İndirim Kodu: Haziran 2026’da $700 Tasarruf Fırsatı
Genel
32GB DDR5 RAM Artık En Az 375 Dolar – AI Kıtlığı PC İnşaatını Zorluyor
Donanım
HTTP İstekleri için Bir Yalan Dedektörü: Zaman İçinde Analitik – DEV Community
Yazılım
Pura İndirim Kodları: Mayıs 2026’da $20 Tasarruf Edin!
Genel
Donanım Dünyası: Computex 2026, 2. Gün – Röportajlar ve Paneller
Donanım
Benchmark ilk büyüme fonunu 2 milyar dolarlık finansmanla hayata geçiriyor
Genel