Godfather Banking Truva Atı Meşru Google Play Uygulaması Gibi Görünüyor

selen guvenc
Ocak 18, 2023
  • 125

Araştırmacılar, Ekim ayı itibarıyla 215 uluslararası banka, 94 kripto para cüzdanı ve 110 kripto borsasının Godfather'ın kurbanı olduğunu söylüyor. Diğerlerinin yanı sıra Kanada, Fransa, Almanya, Birleşik Krallık, Amerika Birleşik Devletleri, İtalya, Polonya, İspanya ve Türkiye'deki finansal hizmet sağlayıcıları hedef alındı.

Araştırmacılar, bir kurbanın cihazına başarılı bir şekilde yüklendikten sonra, Godfather'ın bankacılık ve kripto takas kimlik bilgilerini çalmak da dahil olmak üzere bir dizi tipik bankacılık Truva Atı davranışı başlattığını söyledi. Ancak SMS'ler gibi hassas verileri, kurulu uygulamalardan gelen veriler dahil olmak üzere temel cihaz ayrıntılarını ve cihazın telefon numarasını da çalar ve arka planda sessizce bir dizi kötü niyetli eylem gerçekleştirebilir. "Bunların dışında, VNC [sanal ağ bilgi işlemi] kullanarak cihaz ekranını kontrol edebilir, kurbanın cihazına gelen aramaları iletebilir ve bankacılık URL'lerini enjekte edebilir" şeklinde belirtildi. Araştırmacıların keşfettiği en son Godfather örneğinin, kötü amaçlı yazılımın arkasındaki tehdit aktörlerinin yeni bir taktiği olan yaygın antivirüs ürünleri tarafından tespit edilmekten kaçınabilecek özel şifreleme teknikleri kullanılarak şifrelendiğini söyledi.

Godfather'ın işlevleri şunları da içerir:

- Kurbanın cihazının ekranının kaydedilmesi
- Keylogger'ları başlatma
- Exfiltre push bildirimleri (iki faktörlü kimlik doğrulamayı atlamak için); Truva Atı'nın önceki sürümleri ayrıca SMS mesajlarını da dışarı sızdırıyordu.
- Arama yönlendirme (iki faktörlü kimlik doğrulamayı atlamak için) - USSD isteklerini yürütme (Akıllı telefonların bazı özelliklerini kullanabilmek için operatör ya da cihaz yazılımının arka kapısı olarak tabir edilen kodlar)
- Virüslü cihazlardan SMS mesajları gönderme
- Proxy sunucularını başlatma
- WebSocket bağlantılarının kurulması (Godfather'ın yeni Eylül 2022 sürümüne eklendi)

Daha ayrıntılı incelemelerin ardından araştırmacılar, kötü amaçlı yazılımın halihazırda 10 milyondan fazla indirme kaydeden yasal Google Play uygulaması MYT Music'e benzer bir simge ve ad kullandığını tespit etti. Gerçekten de, Google'ın son yıllarda kötü uygulamaları kullanıcılar etkilenmeden önce mağazasından uzak tutmak için gösterdiği tüm çabalara rağmen , tehdit aktörleri genellikle kötü amaçlı yazılımları Google Play'de gizler . MYT Müzik Türkçe yazılmıştı ve bu nedenle araştırmacılar keşfettikleri Godfather örneğinin Türkiye'deki Android kullanıcılarını hedef aldığını varsayıyorlar. Ancak, kötü amaçlı yazılımın diğer sürümlerinin aktif olmaya devam ettiğinden ve dünya çapındaki bankacılık kullanıcılarını hedef aldığından şüpheleniyorlar. Bankacılık Truva Atları, işletmeden çok tüketicileri etkileme eğiliminde olsa da, iş kullanıcıları mobil cihazlarını işte kullandıkları ve hatta cihazlarında iş uygulamaları ve verileri depolanmış olabileceği için hala risk altındadır. Araştırmacılar, bu nedenle, kurumsal kullanıcıların internetten uygulama indirme veya cep telefonuna gönderilen SMS veya e-posta yoluyla alınan bağlantıları açma konusunda özellikle dikkatli olmaları gerektiğini söyledi. Google Play uygulamayı kaldırdı, ancak uygulamayı yükleyenler hâlâ risk altında.

Google Play'de barındırılan virüslü bir uygulamanın ekran görüntüsü aşağıdadır;

Godfather'a karşı nasıl korunacağına dair öneriler

Mobil uygulamaların ve işletim sistemlerinin güvenliği hızla artıyor. Ancak, Android bankacılık Truva Atlarını tamamen ortadan kaldırmak için henüz çok erken. Deneyimlerimize göre, bankacılık Truva Atları hala oldukça aktiftir ve tehdit aktörleri, kaynak kodu herkese açık olan değiştirilmiş Truva atlarını geniş çapta dağıtmaktadır. Bu eğilimin güzel bir örneği, yalnızca bankacılık uygulamalarının son kullanıcılarına değil, tüm bankacılık sektörüne zarar veren Godfather'dır.
- Her zaman mobil cihazınızdaki güncellemeleri kontrol edin. Android'in sürümü ne kadar yeniyse, cihaz bu tür tehditlere karşı o kadar az savunmasızdır.
- Google Play dışındaki kaynaklardan uygulama indirmeyin (ancak Google Play bile tam güvenliği garanti edemez). Yüklemeden önce bir uygulamanın hangi izinleri istediğini kontrol edin.
- Her zaman bir uygulamanın hangi izinleri istediğini kontrol edin (Godfather söz konusu olduğunda, Trojan ile sunucu arasındaki iletişim yalnızca Erişilebilirlik Hizmetine erişim verildikten sonra gerçekleşir).
- Üçüncü taraf ve şüpheli kaynakları ziyaret etmeyin. - SMS mesajlarındaki bağlantıları takip etmeyin.

Cihazınıza virüs bulaştıysa, aşağıdakileri yapın:
- Ağ erişimini devre dışı bırakın.
- Cihazınızdan erişilmiş olabilecek tüm banka hesaplarını dondurun.
- Kötü amaçlı yazılımın cihazınız için oluşturabileceği riskler hakkında ayrıntılı bilgi almak için uzmanlarla iletişime geçin.

Detaylı bilgilendirme için aşağıdaki linkleri inceleyebilirsiniz;
https://blog.group-ib.com/godfather-trojan
https://brandefense-io.translate.goog/security-news/godfather-trojan-activity-targeting-financial-sector-detected/?_x_tr_sl=en&_x_tr_tl=tr&_x_tr_hl=tr&_x_tr_pto=wapp
https://techwireasia.com/2022/12/the-godfather-banking-trojan-is-making-an-offer-victims-cant-refuse/

Gelişmelerimizden haberdar olmak ve fırsatlarımızdan faydalanmak için; bültenimize abone olmayı ve bizi takip etmeyi unutmayın!


İlgili İçerik
Duyurular

Kuruluşunuz İçin Yılda Bir Kez Sızma Testi Yeterli mi?

Hassas verileri işleyen herhangi bir kuruluş, düzenli penetrasyon testide dahil olmak üzere güvenlik çabalarında gayretli olmalıdır. Küçük bir veri ihlali bile bir kuruluşun itibarına ve kârlılığına önemli ölçüde zarar verebilir.

selen guvenc Şubat 3

Nedir Bu Botnet?

Her gün yeni saldırı türleri ortaya çıktığı için siber suçlulara ayak uydurmak tam zamanlı bir iştir. Siber güvenlik analistleri, klasik fidye yazılımı ve kimlik avı düzenleri arasında botnet saldırılarını dikkate almalıdır.

selen guvenc Şubat 3

6R - Buluta Geçiş Stratejisi

Buluta geçiş sürecinizin başındayken, temel bilgileri gözden geçirmek ve ileride iyi bir planınız olduğunu bilmek her zaman yararlıdır. Her bulut geçişi farklı olacaktır, dolayısıyla her birinin net bir geçiş stratejisine ihtiyacı olacaktır.

selen guvenc Şubat 3

Mobildev’den Şubat Ayında 2 Büyük Webinar!

Yeni yılda da hız kesmeden devam edeceğimiz webinar serimiz, şubat ayında da birbirinden değerli konu ve konuklarla sizlerle olacak.

selen guvenc Şubat 3

Mobildev’de Her 1 Milyon SMS ve Her Lisans Bir Fidana Dönüşüyor!

Teknolojinin güçlü potansiyelini, doğal alanlarımızın korunması ve gelişmesi için kullanmak amacıyla başlattığımız; "Her Bir Milyon SMS Bir Fidan" ve "Her Lisans Bir Fidan" dönüşüm projelerinin öncüsü olmaktan gurur duyuyoruz.

selen guvenc Şubat 3

"Metaverse: Dijital Dünyada Markalar Nasıl Büyüyebilir?" Şimdi Youtube ve Spotify'da Yayında!

"Metaverse: Dijital Dünyada Markalar Nasıl Büyüyebilir?” konulu webinarımız; kaçıranlar veya tekrar izlemek isteyenler için Youtube, dinlemek isteyenler için Spotify kanallarımıza yüklenmiştir.

selen guvenc Şubat 3

Bültene Üye Ol

İşinizi geliştirmenize katkı sağlayacak, başarılı örnekleri, sektörel gelişmeleri ve kampanyaları kaçırmayın.