Giriş
Son dönemde ortaya çıkan yeni bir Android kötü amaçlı yazılım olan Perseus , kullanıcıların notlarında saklanan hassas bilgileri çalmak için geliştirilmiştir. Özellikle finansal veriler ve şifreler gibi kritik bilgilerin hedef alındığı bu yazılım, kullanıcıların güvenlik önlemlerini atlatarak ciddi tehditler oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Perseus , resmi olmayan mağazalar üzerinden IPTV uygulamaları olarak gizlenmekte ve tam cihaz kontrolü, ekran görüntüsü alma, overlay saldırıları gerçekleştirme gibi yetenekler sunmaktadır. Kullanıcıların, genellikle yasadışı içerik akışı sağlamak için bu tür uygulamaları yüklemesi beklenmektedir. Kötü niyetli aktörler, bu durumu göz önünde bulundurarak kullanıcıların güvenlik uyarılarını göz ardı etmesini sağlamaktadır.
Etkilenen Sistemler
Perseus , Türkiye ve İtalya ‘da bulunan mali kurumları yanı sıra kripto hizmetlerini de hedef almaktadır. Aşağıda, bu kötü amaçlı yazılımla etkilenen uygulama ve hizmetlerin bir listesi verilmiştir:
- Roja Directa TV (Popüler spor akışı uygulaması)
- 17 Türk finansal kurumu
- 15 İtalyan finansal kurumu
- 5 Polonya, 3 Almanya, 2 Fransa finansal kurumu
- 9 kripto para uygulaması
Çözüm ve Korunma
Perseus , Android 13+ yükleme kısıtlamalarını aşabilen bir dropper kullanarak, kullanıcının cihazında tam kontrol sağlamaktadır. Kullanıcıların not alma uygulamalarını hedef alarak, hassas bilgileri aramak için aşağıdaki yöntemleri kullanmaktadır:
- Ekran görüntülerini sürekli yakalama ve bunları operatöre iletme (start_vnc)
- Uzaktan etkileşim için yapılandırılmış UI hiyerarşisini gönderme (start_hvnc)
- Dokunma, kaydırma, metin girişi gibi UI ile etkileşimleri simüle etme
- Ekranı açma, uygulama başlatma ve uygulama engelleme
- Aktiviteyi gizlemek için siyah ekran overlay’leri oluşturma
- Overlay saldırıları ve tuş kaydı yapabilme
Kötü amaçlı yazılım, not alma uygulamaları üzerinde sistematik bir şekilde işlem yapmakta ve kullanıcıların özel notlarını tarama işlemleri gerçekleştirmektedir. ThreatFabric araştırmacıları, bu durumun kötü niyetli yazılımlar arasında bir ilk olduğunu vurgulamaktadır.
Aksiyon
Android kullanıcıları, aşağıdaki önlemleri alarak bu tehditten korunmalıdır:
- Kesinlikle güvenilir kaynaklardan APK yüklemekten kaçının.
- Yasal akış uygulamalarını yalnızca Google Play üzerinden indirin.
- Google Play Protect’in aktif olduğundan emin olun ve cihazınızı düzenli olarak bilinen tehditlere karşı tarayın.
Son olarak, olası bir saldırıya maruz kalmamak için güncellemeleri düzenli olarak kontrol edin ve port kapatma veya kişisel bilgilerinizi koruma gibi ek güvenlik önlemleri uygulamayı unutmayın.
