Akıllı telefon kullanıcılarının hesap verilerine erişim sağlayan iyi bilinen bir bankacılık Truva atı “Vultur”, yeni yetenekler kazanarak daha da tehlikeli bir hale geldi.

Güvenlik şirketi Threat Fabric, 2021 yazında “Vultur” hakkında bir rapor yayınladığında, kötü amaçlı yazılımın Google Play Store’daki virüslü uygulamalar aracılığıyla cihazlara sızdığı belirtilmişti. Ancak, geliştiriciler bu Truva atını daha da tehlikeli kılan yeni yeteneklerle donatıldığını açıkladı.

GELİŞMİŞ TRUVA ATI

Vultur, bankacılık verilerini çalmak için uygulamaların içine gizlenmeyi kullanmaya devam ediyor. Bu uygulamalar, yasal uygulamalar olarak gizleniyor ve genellikle belirtilen işlevlerini yerine getiriyor. Ancak, yüklendikten sonra uzak bir sunucu ile iletişim kurarak, akıllı telefona gerçek kötü amaçlı yazılımı içeren şifrelenmiş bir yük gönderiyor.

Güvenlik firması Fox-IT’nin raporuna göre, saldırganlar Vultur için yeni bir dağıtım kanalı buldu. Telefon Odaklı Saldırı Dağıtımı (TOAD) adı verilen bu yöntem, kötü amaçlı yazılımın yeni bir sürümünü son cihazlara SMS mesajları ve telefon aramaları kombinasyonu kullanarak yüklemeyi mümkün kılıyor.

Saldırı, alıcıyı büyük miktarda para işlemini onaylamak için bir numarayı aramaya çağıran bir kısa mesajla başlıyor. Arama sırasında, “McAfee Security” uygulamasının kötü amaçlı yazılım bulaşmış bir sürümüne bağlantı içeren ikinci bir kısa mesaj geliyor.

Bu uygulama, tanınmış "Brunhilda Projesi"nden geliyor ve ilk bakışta zararsız görünüyor. Ancak, arka planda üç adet “Vultur” yükü yükleyerek saldırganlara akıllı telefon üzerinde tam kontrol sağlıyor.

Bu kötü amaçlı yazılım, sadece akıllı telefonu uzaktan çalıştırmakla kalmıyor, aynı zamanda uygulamaları silip yükleyebiliyor ve dosyaları bulup açabiliyor. Ekran kilidi bile atlanabiliyor ve kullanıcılar belirli uygulamaların dışında bırakılabiliyor.

Bu durum, saldırganların giriş verileri ve şifreler de dahil olmak üzere herhangi bir sayıda uygulama için hassas bilgilere erişmesini sağlıyor. Sahte ekran içeriği görüntüleyerek, bunu kullanıcının bilgisi olmadan bile yapabiliyorlar.

KULLANICILAR NE YAPMALI

Google, kullanıcıların Play Protect tarafından bu tür kötü amaçlı yazılımlara karşı otomatik olarak korunduğunu belirtiyor. Ancak, “Vultur” bankacılık Truva Atı sürekli olarak geliştirildiği için, yüzde yüz koruma sağlanamıyor.

Kullanıcıların, şüpheli kısa mesajlara yanıt vermemesi ve bilinmeyen numaraları aramaması gerekiyor. Ayrıca, Google Play Store dışındaki kaynaklardan uygulama yüklememeleri önem taşıyor. Zira saldırganların akıllı telefona tam erişim sağlamasının ve hassas verilere ulaşmasının tek yolu bu.

ARTI49