Godfather Banking Truva Atı Meşru Google Play Uygulaması Gibi Görünüyor

selen guvenc
Ocak 18, 2023
  • 800

Araştırmacılar, Ekim ayı itibarıyla 215 uluslararası banka, 94 kripto para cüzdanı ve 110 kripto borsasının Godfather'ın kurbanı olduğunu söylüyor. Diğerlerinin yanı sıra Kanada, Fransa, Almanya, Birleşik Krallık, Amerika Birleşik Devletleri, İtalya, Polonya, İspanya ve Türkiye'deki finansal hizmet sağlayıcıları hedef alındı.

Araştırmacılar, bir kurbanın cihazına başarılı bir şekilde yüklendikten sonra, Godfather'ın bankacılık ve kripto takas kimlik bilgilerini çalmak da dahil olmak üzere bir dizi tipik bankacılık Truva Atı davranışı başlattığını söyledi. Ancak SMS'ler gibi hassas verileri, kurulu uygulamalardan gelen veriler dahil olmak üzere temel cihaz ayrıntılarını ve cihazın telefon numarasını da çalar ve arka planda sessizce bir dizi kötü niyetli eylem gerçekleştirebilir. "Bunların dışında, VNC [sanal ağ bilgi işlemi] kullanarak cihaz ekranını kontrol edebilir, kurbanın cihazına gelen aramaları iletebilir ve bankacılık URL'lerini enjekte edebilir" şeklinde belirtildi. Araştırmacıların keşfettiği en son Godfather örneğinin, kötü amaçlı yazılımın arkasındaki tehdit aktörlerinin yeni bir taktiği olan yaygın antivirüs ürünleri tarafından tespit edilmekten kaçınabilecek özel şifreleme teknikleri kullanılarak şifrelendiğini söyledi.

Godfather'ın işlevleri şunları da içerir:

- Kurbanın cihazının ekranının kaydedilmesi
- Keylogger'ları başlatma
- Exfiltre push bildirimleri (iki faktörlü kimlik doğrulamayı atlamak için); Truva Atı'nın önceki sürümleri ayrıca SMS mesajlarını da dışarı sızdırıyordu.
- Arama yönlendirme (iki faktörlü kimlik doğrulamayı atlamak için) - USSD isteklerini yürütme (Akıllı telefonların bazı özelliklerini kullanabilmek için operatör ya da cihaz yazılımının arka kapısı olarak tabir edilen kodlar)
- Virüslü cihazlardan SMS mesajları gönderme
- Proxy sunucularını başlatma
- WebSocket bağlantılarının kurulması (Godfather'ın yeni Eylül 2022 sürümüne eklendi)

Daha ayrıntılı incelemelerin ardından araştırmacılar, kötü amaçlı yazılımın halihazırda 10 milyondan fazla indirme kaydeden yasal Google Play uygulaması MYT Music'e benzer bir simge ve ad kullandığını tespit etti. Gerçekten de, Google'ın son yıllarda kötü uygulamaları kullanıcılar etkilenmeden önce mağazasından uzak tutmak için gösterdiği tüm çabalara rağmen , tehdit aktörleri genellikle kötü amaçlı yazılımları Google Play'de gizler . MYT Müzik Türkçe yazılmıştı ve bu nedenle araştırmacılar keşfettikleri Godfather örneğinin Türkiye'deki Android kullanıcılarını hedef aldığını varsayıyorlar. Ancak, kötü amaçlı yazılımın diğer sürümlerinin aktif olmaya devam ettiğinden ve dünya çapındaki bankacılık kullanıcılarını hedef aldığından şüpheleniyorlar. Bankacılık Truva Atları, işletmeden çok tüketicileri etkileme eğiliminde olsa da, iş kullanıcıları mobil cihazlarını işte kullandıkları ve hatta cihazlarında iş uygulamaları ve verileri depolanmış olabileceği için hala risk altındadır. Araştırmacılar, bu nedenle, kurumsal kullanıcıların internetten uygulama indirme veya cep telefonuna gönderilen SMS veya e-posta yoluyla alınan bağlantıları açma konusunda özellikle dikkatli olmaları gerektiğini söyledi. Google Play uygulamayı kaldırdı, ancak uygulamayı yükleyenler hâlâ risk altında.

Google Play'de barındırılan virüslü bir uygulamanın ekran görüntüsü aşağıdadır;

Godfather'a karşı nasıl korunacağına dair öneriler

Mobil uygulamaların ve işletim sistemlerinin güvenliği hızla artıyor. Ancak, Android bankacılık Truva Atlarını tamamen ortadan kaldırmak için henüz çok erken. Deneyimlerimize göre, bankacılık Truva Atları hala oldukça aktiftir ve tehdit aktörleri, kaynak kodu herkese açık olan değiştirilmiş Truva atlarını geniş çapta dağıtmaktadır. Bu eğilimin güzel bir örneği, yalnızca bankacılık uygulamalarının son kullanıcılarına değil, tüm bankacılık sektörüne zarar veren Godfather'dır.
- Her zaman mobil cihazınızdaki güncellemeleri kontrol edin. Android'in sürümü ne kadar yeniyse, cihaz bu tür tehditlere karşı o kadar az savunmasızdır.
- Google Play dışındaki kaynaklardan uygulama indirmeyin (ancak Google Play bile tam güvenliği garanti edemez). Yüklemeden önce bir uygulamanın hangi izinleri istediğini kontrol edin.
- Her zaman bir uygulamanın hangi izinleri istediğini kontrol edin (Godfather söz konusu olduğunda, Trojan ile sunucu arasındaki iletişim yalnızca Erişilebilirlik Hizmetine erişim verildikten sonra gerçekleşir).
- Üçüncü taraf ve şüpheli kaynakları ziyaret etmeyin. - SMS mesajlarındaki bağlantıları takip etmeyin.

Cihazınıza virüs bulaştıysa, aşağıdakileri yapın:
- Ağ erişimini devre dışı bırakın.
- Cihazınızdan erişilmiş olabilecek tüm banka hesaplarını dondurun.
- Kötü amaçlı yazılımın cihazınız için oluşturabileceği riskler hakkında ayrıntılı bilgi almak için uzmanlarla iletişime geçin.

Detaylı bilgilendirme için aşağıdaki linkleri inceleyebilirsiniz;
https://blog.group-ib.com/godfather-trojan
https://brandefense-io.translate.goog/security-news/godfather-trojan-activity-targeting-financial-sector-detected/?_x_tr_sl=en&_x_tr_tl=tr&_x_tr_hl=tr&_x_tr_pto=wapp
https://techwireasia.com/2022/12/the-godfather-banking-trojan-is-making-an-offer-victims-cant-refuse/

Gelişmelerimizden haberdar olmak ve fırsatlarımızdan faydalanmak için; bültenimize abone olmayı ve bizi takip etmeyi unutmayın!


İlgili İçerik
Duyurular

Turkcell 04.03.2024 Tarihli Planlı Çalışma

Değerli müşterimiz, Turkcell'de altyapı iyileştirme çalışması yapılacaktır.

selen guvenc Mart 1

Mobildev Pazarlama Sohbetleri: SEO ve İçerik Pazarlama için ChatGPT Nasıl Kullanılır?

Mart ayının ilk webinarı olan, "SEO ve İçerik Pazarlama için ChatGPT Nasıl Kullanılır?" konulu webinarımız, 1 Mart Cuma Günü gerçekleşecek.

selen guvenc Şubat 21

Artan Tehdit: Hacktivist Hareketler

‘Hack’ ve ‘Aktivizm’ kelimelerinin birleştirilmesinden türetilen Hacktivizm, internet korsanı veya korsan gruplarının, sosyal ve politik mesajları iletme kaygısıyla, internet siteleri veya bilgisayar ağlarını hedef alan saldırılar gerçekleştirmesidir.

selen guvenc Şubat 8

“Göremediğin Şeyi Koruyamazsın”: Zombie ve Shadow API

BT modernizasyonu ve dijital dönüşüm girişimleri, daha hızlı yazılım dağıtım yaşam döngüleriyle birleştiğinde, kuruluşlar içindeki API ekosistemlerinin boyutunda ve ölçeğinde katlanarak bir artışa neden oldu.

selen guvenc Şubat 8

Kimlik Avı Saldırıları: İşinizi ve Kişisel Verilerinizi Koruma

Ekim ayında Ulusal Siber Güvenlik Farkındalık Ayı kutlandı. Temel mesajı basit ama güçlendiriciydi “farkındalık ve proaktif önlemler en iyi savunmamızdır.”

selen guvenc Şubat 8

Türkiye Cumhuriyeti Kimlik Numaralarının İşlenmesi Hakkında Rehber

KVK Kurumu tarafından, elde edilmesi halinde mahiyeti gereği ilgili kişilerin diğer kişisel verilerine de erişim imkânı sağlayabilmesi sebebiyle mağduriyete yol açabilecek olan Türkiye Cumhuriyeti (T.C.) kimlik numaralarının işlenmesi faaliyetinde dikkat

selen guvenc Şubat 8

Bültene Üye Ol

İşinizi geliştirmenize katkı sağlayacak, başarılı örnekleri, sektörel gelişmeleri ve kampanyaları kaçırmayın.