Giriş
Son dönemde, TrickMo adlı Android banka malware’inin yeni bir versiyonu, Avrupa’daki kullanıcıları hedef alan kampanyalarla aktif hale geldi. Bu malware, gizli iletişim için TON (The Open Network) kullanarak siber tehditlerin boyutunu artırmakta.
Saldırı Nasıl Çalışıyor?
TrickMo, 2019 Eylül ayında ilk kez tespit edilmiştir ve o tarihten bu yana sürekli olarak güncellemeler alarak gelişimini sürdürmektedir. Ekim 2024’te Zimperium, 40 değişik versiyonunu analiz etti ve bunların 16 farklı düşürücü ile iletildiğini ortaya çıkardı. Malware, toplamda 22 farklı komut ve kontrol (C2) altyapısıyla iletişim kurmakta ve dünya çapında kullanıcıların hassas verilerini hedef almaktadır.
Yeni versiyon, araştırmacılar tarafından ‘Trickmo.C’ olarak izlenmektedir. Bu sürüm, TikTok veya akış uygulamaları olarak maskelenmiş durumda ve özellikle Fransa, İtalya ve Avusturya’daki kullanıcıların bankacılık ve kripto para cüzdanlarını hedef almaktadır.
Etkilenen Sistemler
TrickMo malware’inin teknik mimarisi iki aşamalı bir yapıdadır:
- Bir ana APK, yükleyici ve kalıcılık katmanı olarak görev yapmaktadır.
- Ayrıca, çalıştırma sırasında indirilen başka bir APK modülü, saldırganlık işlevselliğini sağlamaktadır.
Maldaware, kullanıcının bankacılık bilgilerini hedefleyen phishing katmanları, tuş kaydetme, ekran kaydı, canlı ekran akışı, SMS müdahalesi, OTP bildirim engelleme, panoyu değiştirme, bildirim filtreleme ve ekran görüntüsü alma gibi işlevleri gerçekleştirmektedir.
Bu yeni versiyon, aşağıdaki komut ve yeteneklerle donatılmıştır:
- curl
- dnsLookup
- ping
- telnet
- traceroute
- SSH tünelleme
- uzaktan port yönlendirme
- yerel port yönlendirme
- authenticated SOCKS5 proxy desteği
Ayrıca, araştırmacılar Pine çalışma zamanı bağlantı çerçevesini tespit etmiş fakat şu anda aktif olarak kullanılan bir işlevselliği bulunmamaktadır.
Çözüm ve Korunma
Android kullanıcılarının aşağıdaki önlemleri alması şiddetle tavsiye edilmektedir:
- Uygulamaları yalnızca Google Play’den indirin.
- Telefonlarınızdaki kurulu uygulama sayısını sınırlayın.
- Sadece güvenilir yayıncılardan uygulama yükleyin.
- Play Protect’in her zaman aktif olduğundan emin olun.
Özellikle bu tür malware’ler ile karşılaşmamak için, güncellemeleri periyodik olarak kontrol edin ve cihazınızdaki izinleri dikkatlice yönetin.
Sonuç
Kullanıcıların, cihaz güvenliğini sağlamak için yukarıdaki önlemleri alması ve cihazlardaki yazılımları sürekli güncel tutması önemlidir. Ayrıca, şüpheli uygulamaları ve bağlantıları hemen kaldırmaları gerekiyor. Unutmayın, siber güvenlik bir süreçtir ve sürekli dikkat gerektirir.
