Giriş
Latin Amerika ve Avrupa, Grandoreiro ve BTMOB adlı iki banka trojanının hedefi haline geldi. Bu durum, siber güvenliğin giderek daha karmaşık bir hale geldiğinin bir göstergesi.
Saldırı Nasıl Çalışıyor?
Grandoreiro kampanyası, CVE kodlarıyla ilişkilendirilmeden, dört farklı yazılımı hedef alan DLL Side-Loading tekniğini kullanıyor. Özellikle mingwm10.dll ve libwebp.dll dosyaları, WebSocket ve gerçek zamanlı iletişim kütüphanesi olan sgcWebSockets ‘i içeriyor.
- CVE Kodları: Her ne kadar spesifik CVE kodları verilmemiş olsa da, bilinen güvenlik açıkları üzerinden yayılmaktadır.
- DLL’lerin iletişim için kullandığı teknikler:
- Session Traversal Utilities for NAT ( STUN )
- Interactive Connectivity Establishment ( ICE )
Bu ikisi, kullanıcıların IP adresini tespit etmesine ve P2P iletişimi kurmasına olanak tanıyor. Grandoreiro, 2016’dan beri aktif ve 45 ülkede çeşitli finansal kuruluşlara saldıran bir malware türü olarak öne çıkıyor. Phishing e-postaları ile dağıtımı gerçekleştirilmekte.
Etkilenen Sistemler
Saldırganlar, özellikle Portekiz’deki bankaları hedef alıyor. Aşağıdaki kuruluşlar tehlike altında bulunmaktadır:
- Abanca
- Banco de Portugal
- BBVA PT
- Caixa Geral Depositos
- Santander
- Revolut
- Wise
BTMOB: İşe Alım Araçları
BTMOB , Şubat 2025’te ortaya çıkan bir Android uzaktan erişim trojanıdır (RAT). Versiyon 4.5.5 ile güncellenmiş olan bu malware, kullanıcıların cihazlarına erişim sağlamakta ve kritik bilgileri çalmaktadır. APK dosyası, sahte uygulama listeleri aracılığıyla yayılmakta ve kullanıcıların erişim izinlerini elde etmektedir.
- Altyapı: Kötü amaçlı yazılım, kullanıcıların erişim hizmetlerini kullanarak sisteme derinlemesine sızmaktadır.
- Dağıtım Kanalları: Sosyal mühendislik yoluyla yayılarak kullanıcıları hedef alır.
- Öğrenme Hızı: Kötü amaçlı yazılım geliştiricisi, basit bir arayüzle kullanıcıların yeni payloadlar oluşturmasına olanak tanır.
Çözüm ve Korunma
Bu tür tehditlere karşı korunmak için şu önlemleri almanız önerilmektedir:
- Uygulamalarınızı ve işletim sisteminizi sürekli güncel tutun.
- Güvenilir kaynaklardan uygulama indirin ve üçüncü parti APK dosyalarından kaçının.
- Gereksiz portları kapatın ve firewall korumasını aktive edin.
- Dikkatli phishing e-postalarına karşı duyarlı olun, şüpheli bağlantılara tıklamayın.
Kullanıcıların dikkatli olmaları, finansal bilgilerinin korunmasına yardımcı olacaktır. Hızlı bir şekilde hareket edilmediğinde, bu tür malware’lerin etkileri daha büyük hasarlara yol açabilir.
