Telefonuna Bu Uygulamayı İndirenler Dikkat: Sizden Para Çalıyor!

İlk olarak Kasım 2018’de ESET tarafınca tespit edilen fena amaçlı yazılım, bankacılık truva atı kabiliyetlerini, Android erişilebilirlik hizmetlerinin kötüye kullanımı ile birleştiriyor. Ve bu haliyle de resmi PayPal uygulaması kullanıcılarını hedef alıyor.

PayPal artık Türkiye’de hizmet vermese de PayPal’ın global yaygınlığı sebebiyle mevzu, tüm küresel web kullanıcılarını ilgilendiriyor. Zira zararı olan yazılım, kendini bir pil optimizasyon aracı (Optimization Android) olarak gizliyor ve Google Play harici uygulama mağazaları tarafınca dağıtılıyor.

Nasıl çalışıyor?

Kurbanların PayPal hesaplarından para çalma işlemi, fena amaçlı ‘erişilebilirlik‘ hizmetinin etkinleştirilmesini gerektiriyor. Bu talep kullanıcıya zararsız şeklinde görünen “istatistikleri etkinleştir” talebiyle geliyor. Resmi PayPal uygulaması hedeflenen cihazda yüklenmişse, fena amaçlı yazılım kullanıcıya bu uygulamayı başlatmasını isteyen bir bildirim gönderiyor. Kullanıcı bir kez PayPal uygulamasını açarak giriş yaptığında, zararı olan erişilebilirlik servisi devreye giriyor ve kullanıcının gerçekleştirdiği tıklamaları taklit ederek saldırganın PayPal adresine para gönderiyor.

1000 EURO TRANSFER ETMEYE ÇALIŞTI

ESET Güvenlik Araştırmacısı Lukas Stefanko’nun gerçekleştirdiği çözümleme esnasında uygulama 1000 Euro aktarma etmeye çalıştı. Bununla beraber, kullanılan para birimi kullanıcının konumuna da bağlıdır. Lukas Stefanko’nun tespitlerine nazaran tüm süreç ortalama 5 saniye sürüyor ve durumdan şüphelenmeyen bir kullanıcı için bu süre zarfında müdahale edebilmenin bir yolu yok. Zira fena amaçlı yazılımın işleyişi, aslen PayPal giriş bilgilerini çalmaya dayanmıyor. Bunun yerine kullananların resmi PayPal uygulamasına giriş yapmasını bekliyor ve hem de PayPal’ın iki faktörlü kimlik doğrulamasını (2FA) da atlatıyor. 2FA etkinleştirilmiş kullanıcılar, normalde giriş esnasında extra bir doğrulama aşamasını daha geçerlerken, bu truva atı saldırısında 2FA kullanmayan kullanıcılar kadar korunmasız duruma geliyorlar.

SALDIRI BİRDEN FAZLA KEZ GERÇEKLEŞEBİLİR

Saldırganlar, yalnızca kullanıcının PayPal bakiyesi yetersiz ve hesaba bağlı bir ödeme kartı olmadığı durumlarda başarısız oluyor. Fena amaçlı erişilebilirlik hizmeti, PayPal uygulaması her başlatıldığında etkinleştiriliyor. Kısaca hücum birden oldukça kez gerçekleşebiliyor.

PAYPAL KONUYLA İLGİLİ BİLGİLENDİRİLDİ

ESET, bu truva atı tarafınca fena amaçla kullanılan tekniği ve saldırganın çalıntı parayı aktarmak için kullandığı PayPal hesabını PayPal’a bildirdi. Ek olarak ESET ürünleri bu tehditleri “Android/Spy.Banker.AJZ“ ve “Android/Spy.Banker.AKB“ olarak algılıyor ve engelliyor.

TRUVA ATI BAŞKA İŞLER DE YAPIYOR

ESET tarafınca “Android/Spy.Banker.AJZ“ adıyla etiketlenen bu yetenekli truva atı,
Google Play, WhatsApp, Skype, Viber ve Gmail şeklinde meşru sayfaların üzerini kaplayan ekranlar oluşturabiliyor ve kimlik avı amacıyla kredi kartı bilgilerini talep edebiliyor. “Android/Spy.Banker.AJZ“ ek olarak şunları da yapabiliyor:

– SMS mesajlarını kesmek, göndermek, silmek ve varsayılan SMS uygulamasını değişiklik yapmak (iki aşamalı kimlik doğrulamayı dönem dışı bırakmak için).
– Şahıs listesini izlemek.
– Arama yapmak ve iletmek.
– Yüklenen uygulamaların listesini edinmek.
– Uygulamayı yüklemek, yüklenen uygulamayı çalıştırmak.

Nasıl güvende kalınır?

PayPal’i hedefleyen truva atını yüklediyseniz, banka hesabınızı şüpheli işlemler için denetim etmenizi ve web bankacılığı şifrenizi/PIN kodunuzu ve Gmail şifrenizi değiştirmeyi düşünmenizi tavsiye ederiz. Yetkisiz PayPal işlemleri olması durumunda, herhangi bir problemi PayPal Çözüm Merkezine iletebilirsiniz.

Bu truva atı tarafınca görüntülenen kilit kaplama ekranları sebebiyle kullanılamaz duruma gelen cihazlar için Android’in Güvenli Modu’nu kullanmalarını ve Settings > (General) > Application manager/Apps bölümünden “Optimization Android” adlı uygulamayı silmelerini öneriyoruz.