Coyote: Yeni Nesil Kötü Amaçlı Yazılımın Yükselişi
Son zamanlarda kötü amaçlı yazılım dünyasında dikkat çeken olaylardan biri, Coyote adlı bir banka trojanının ortaya çıkışıdır. Bu yazılım, Windows işletim sisteminin erişilebilirlik çerçevesi olan UI Automation (UIA) aracılığıyla hassas bilgileri toplamak için kullanılan ilk bilinen zararlı yazılım dalıdır. Kaspersky’nin 2024’te ortaya koyduğu bu yazılım, özellikle Brezilya kullanıcılarını hedef alıyor ve finansal kuruluşların yanı sıra kripto para borsaları üzerinde de siber saldırılar düzenliyor.
UIA’nın Kötüye Kullanımı
Microsoft’un .NET Çerçevesi’ne ait olan UIA, ekrandan okuma yapan araçlar gibi yardımcı teknolojiler için tasarlanmış bir özelliktir. Ancak, Akamai güvenlik araştırmacısının belirttiği gibi, bu sistemin kötüye kullanılması mümkün. UIA, zararlı yazılımların başka bir uygulamanın alt öğelerini okuyarak bilgi çalmasına olanak tanır. Bu, kullanıcının kimlik bilgileri, banka hesapları veya diğer önemli verilerin çalınmasında etkili bir yol sunmaktadır.
Akamai’ye göre, Coyote yazılımı, aktif pencerenin başlığını almak için GetForegroundWindow() Windows API’sini kullanıyor. Bu işlem, belirli bir bankanın veya kripto para borsasının web adresine karşılaştırma yaparak, hedef alınan finansal kurumların kullanıcı bilgilerini topluyor. Eğer yazılım, ilk karşılaştırmada bir eşleşme bulamazsa, UIA aracılığıyla pencerenin alt öğelerini inceleyerek adres çubuğu veya tarayıcı sekmelerini tanımlamaya çalışıyor.
Brezilya Kullanıcıları Hedef Alınıyor
Coyote, 2025 yılı itibarıyla yalnızca Brezilya’daki 75 farklı finansal kurumu hedef almakta. Daha önce Fortinet FortiGuard Labs tarafından belgelenen 73 kuruma ek olarak, bu sayı gün geçtikçe artıyor. Özellikle financeira sektöründe geniş bir etki alanı yaratmaktadır. Coyote’nin bu etkinliği, finansal bilgi güvenliğini tehdit eden ciddi bir mesele haline geliyor.
Coyote’nin en dikkat çekici özelliklerinden biri, çevrimdışı olarak da çalışabilmesi. Bu sayede, kullanıcı çevrimiçi olmasa bile yazılım, hedef bankayı veya kripto borsasını belirleyebilir ve kimlik bilgilerini çalabilir. Dolayısıyla, Coyote, kullanıcıların çevrimiçi güvenliklerini tehdit eden bir virüs haline gelmektedir.
Kötü Amaçlı Yazılımın Faaliyetleri
Coyote’nin operasyonel yapısı, diğer Android banka trojanlarına oldukça benzemektedir. Bu tür yazılımlar, genellikle işletim sisteminin erişilebilirlik hizmetlerini kullanarak değerli verileri elde etmekte. Coyote yazılımı, kullanıcının tuş vuruşlarını kaydedebilme, ekran görüntüleri alma ve finans kurumlarının giriş sayfalarının üzerine sahte katmanlar ekleme gibi özelliklere sahiptir. Bu tür teknikler, kullanıcıların hassas bilgilerinin çalınmasına zemin hazırlayan tehlikeli stratejilerdir.
Akamai analizinde, Coyote’nin tehlikeli yönleri detaylı bir şekilde gözler önüne serilmektedir. UIA’nın kötüye kullanımının kanıtı olarak, Aralık 2024’te yapılan bir proof-of-concept (PoC) ile bu yöntemlerin gerçekten ne kadar etkili olduğu gösterilmiştir. Kullanıcıların veri güvenliğini sağlamak amacıyla birçok korunma yöntemi geliştirilmesine rağmen, Coyote’nin bu tip zararlı yazılımlara karşı entegrasyon yeteneği, onu daha da riskli bir hale getirmektedir.
Finansal Güvenliği Sağlamak
Coyote tarzı kötü amaçlı yazılımlar, finansal güvenlik alanında ciddi bir tehdit oluşturmasına rağmen, kullanıcıların alabileceği çeşitli önlemler vardır. Kullanıcılar, bilmedikleri veya güvenilirliğinden emin olmadıkları bağlantılara tıklamaktan kaçınmalı, güncel bir antivirüs yazılımı kullanmalı ve işletim sistemlerini sürekli güncel tutmalıdır. Ek olarak, finansal işlemler sırasında iki faktörlü kimlik doğrulama sistemleri kullanılmasını teşvik etmek, kullanıcıların hesaplarını koruma açısından önemli bir adımdır.
Sonuç olarak, Coyote virüsü, kötü niyetli yazılımların nasıl evrilip gelişebileceğini gözler önüne seriyor. Onunla savaşmak, yalnızca yazılımlar değil, aynı zamanda kullanıcıların da dikkatli ve bilinçli davranmalarını gerektiriyor. Bireyler, bahsedilen önlemleri alarak, siber saldırılara karşı daha dirençli hale gelebilirler.
