Yeni Tehdit: Massiv Android Trojanı
Son zamanlarda siber güvenlik araştırmacıları, finansal hırsızlık amacıyla cihaz ele geçirme (DTO) saldırılarını kolaylaştırmak üzere tasarlanmış yeni bir Android trojanı olan Massiv‘in detaylarını açıkladı. Bu zararlı yazılım, masum IPTV uygulamaları gibi görünerek kullanıcılara saldırmakta ve mobil bankacılık kullanıcılarına ciddi riskler oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Massiv zararlı yazılımı, aşağıdaki yöntemler aracılığıyla kimlik bilgilerini çalmaya yönelik geniş bir özellik yelpazesine sahiptir:
- Ekran akışı: Android’in MediaProjection API kullanarak.
- Keylogging (tuş kaydetme).
- SMS interception (SMS ele geçirme).
- Bankacılık ve finans uygulamaları üzerine sahte katmanlar ekleyerek kullanıcıdan kimlik bilgilerini ve kredi kartı detaylarını isteme.
Araştırmalara göre, ThreatFabric tarafından belirlenen bir kampanya gov.pt adlı Portekiz kamu yönetimi uygulamasını hedef almış ve bu katman, kullanıcıyı telefon numarası ve PIN kodunu girmeye zorlayarak “Müşterinizi Tanıyın” (KYC) doğrulamasını aşmayı amaçlamıştır.
Etkilenen Sistemler
Massiv, Android’in erişilebilirlik hizmetlerini kötüye kullanarak kullanıcının cihazına uzaktan kontrol imkanı sağlıyor. Bununla birlikte, daha önce gözlemlenen Android bankacıları arasında Crocodilus, Datzbro ve Klopatra da bulunmaktadır.
Bu zararlı yazılım, aşağıdaki kötü niyetli işlemleri gerçekleştirip hedef alabilir:
- Siyah katman oluşturma, ses ve titreşimi kapatma.
- Cihaz bilgilerini gönderme.
- Tıklama ve kaydırma işlemleri yapma.
- Kopyalama panosunu belirli bir metinle değiştirme.
- Siyah ekranı devre dışı bırakma veya açma.
- Ekran akışını başlatma veya durdurma.
- Patern ile cihazı kilidi açma.
- Uygulama, cihaz patern kilidi veya PIN için katman servisi.
- Hedeflenen uygulamalar için katman içeren ZIP arşivlerini indirme.
- APK dosyalarını indirme ve kurma.
- Pillerin Optimizasyonu, Cihaz Yönetimi ve Play Protect ayar ekranlarını açma.
- SMS mesajlarına erişim için izin talep etme.
- Cihazda kayıtlı log veritabanlarını temizleme.
Çözüm ve Korunma
Massiv, IPTV uygulamaları kılığında SMS phishing yoluyla dağıtılıyor. Kurban, kurulum ve “önemli” bir güncelleme talep eden bir mesaj aldıktan sonra, kötü niyetli yazılımı kurmasına izin veriyor. Aşağıda zararlı bileşenlerin isimleri listelenmiştir:
- IPTV24 (hfgx.mqfy.fejku) – Dropper
- Google Play (hobfjp.anrxf.cucm) – Massiv
Hedef kullanıcıların bu tür zararlı yazılımlara maruz kalmamaları için aşağıdaki önlemler alınmalıdır:
– Mobil uygulamaları güncel tutun.
– Bilinmeyen kaynaklardan uygulama indirmeyin.
– Cihazınıza sadece güvenilir uygulamalar yükleyin.
– Mobil bankacılık uygulamalarında güçlü şifreleme ve iki faktörlü kimlik doğrulama gibi ek güvenlik önlemleri kullanın.
Sonuç olarak, Massiv gibi yeni tehditlere karşı dikkatli olunmalı ve gerekli güvenlik önlemleri alınmalıdır. Potansiyel saldırılara karşı güncellemelerinizi yapın ve cihazlarınızı sürekli izleyin.
