Giriş
Son günlerde, Android cihazlar için tehdit oluşturan yeni bir malware türü olan BeatBanker, kullanıcıları resmi Google Play Store gibi görünen sahte siteler aracılığıyla kandırarak cihazlarına sızıyor. Bu durum, hem bankacılık bilgilerini çalma hem de kripto para işlemlerini manipüle etme riski taşımaktadır.
Saldırı Nasıl Çalışıyor?
BeatBanker, kullanıcıları kandırmak için sahte bir Starlink uygulaması olarak dağıtılan bir APK dosyasıdır. Ağ üzerinden yayıldığında, kullanıcıların cihazlarına sızmak için aşağıdaki adımları takip eder:
- Native kütüphaneleri kullanarak gizli DEX kodlarını bellekte decrypt eder.
- Bir ortam kontrolü gerçekleştirerek analiz edilmediğinden emin olur.
- İzin almak için sahte bir Play Store güncelleme ekranı gösterir.
- Kötü niyetli işlemleri başlatmak için bir süre bekler; böylece alarm tetiklenmez.
Etkilenen Sistemler
Kaspersky araştırmacıları, BeatBanker’in özellikle Brezilya’daki kullanıcıları hedef aldığını belirtmiştir. Malware’in son sürümü, CVE-2023-XXXX koduyla tanımlanan BTMOB RAT adlı uzaktan erişim trojan’ını dağıtarak cihazların kontrolünü elinde tutmaktadır. Bu zararlı yazılım, aşağıdaki yeteneklere sahiptir:
- Ayrıntılı cihaz kontrolü
- Tuş kaydı
- Ekran kaydı
- Kamera ve GPS erişimi
- Kredi bilgilerini ele geçirme
Kripto Para Madenciliği ve Süreklilik
BeatBanker, modifiye edilmiş XMRig sürümü 6.17.0 kullanarak Android cihazlarda Monero madenciliği yapar. Madenci, saldırgan kontrolündeki madencilik havuzlarına TLS bağlantıları üzerinden bağlanır.
Malware, cihazın durumunu izler ve aşağıdaki bilgileri sürekli olarak komut ve kontrol (C2) sunucusuna iletir:
- Cihazın batarya seviyesi ve sıcaklığı
- Şarj durumu
- Kullanım aktiviteleri
- Aşırı ısıtma durumu
Bu veriler sayesinde malware, cihaz kullanıldığında madenciliği durdurur ve keşfedilmemek için fiziksel etkisini sınırlar.
Çözüm ve Korunma
Bu tür tehditlerle karşılaşmamak için Android kullanıcılarının dikkat etmesi gereken bazı önemli noktalar bulunmaktadır:
- Resmi Google Play Store dışındaki APK’ları yüklememek.
- Uygulamalara verilen izinleri dikkatlice kontrol etmek.
- Periyodik olarak Play Protect taramaları gerçekleştirmek.
Brezilya’daki BeatBanker enfeksiyonları nedeniyle, bu malware’in diğer ülkelerde de yayılması mümkündür. Kullanıcıların bu noktada daha dikkatli olması ve güvenlik uygulamalarını güncel tutması büyük önem taşımaktadır.
Aksiyon
Eğer cihazınızda bu tür bir malware ile karşılaştığınızı düşünüyorsanız, derhal aşağıdaki önlemleri almanız önerilmektedir:
- Tüm uygulamalarınızı güncelleyerek yeni güvenlik yamalarını yükleyin.
- Şüpheli uygulamaları kaldırın ve izinleri kontrol edin.
- Güvenilir bir antivirüs yazılımı ile tarama yapın.
- Portları uygun şekilde kapatın ve gereksiz bağlantıları engelleyin.
Alınacak bu önlemlerle hem kendi güvenliğinizi artırabilir hem de siber tehditlere karşı proaktif bir tutum sergileyebilirsiniz.
