Whatsapp'a sızan virüs banka hesaplarını hedef alıyor

Siber suçluların mobil cihazlara yönelik saldırı taktikleri her geçen gün daha karmaşık ve tespit edilmesi güç bir hale gelirken, Sturnus adı verilen yeni ve oldukça gelişmiş bir bankacılık Truva Atı (Banking Trojan) keşfedildi. Siber güvenlik firması ThreatFabric tarafından detayları yayımlanan bu zararlı yazılım, sadece finansal verileri değil, aynı zamanda kullanıcıların en mahrem iletişim kanalları olan uçtan uca şifreli mesajlaşma uygulamalarını da hedef alıyor.

Henüz geliştirilme aşamasında olmasına rağmen sergilediği yüksek tehlike düzeyiyle uzmanları endişelendiren Sturnus, geleneksel virüslerin aksine, şifreleme kalkanlarını kırmakla uğraşmıyor. Bunun yerine, sistemi çok daha kurnazca alt etmenin bir yolunu buldu: Doğrudan cihazın ekranını okumak. Bu sinsi yöntem, WhatsApp, Signal ve Telegram gibi uygulamaların kullanıcılarına sağladığı güvenliği pratikte etkisiz hale getiriyor.

Erişilebilrilik servislerini kullanıyor

Sturnus virüsünün kritik mesajlaşma uygulamalarına sızabilmesinin temelinde, Android işletim sisteminin engelli kullanıcılar için tasarladığı hayati bir özellik olan Erişilebilirlik Servislerinin (Accessibility Services) kötüye kullanılması yatıyor. Bir kullanıcı, farkında olmadan indirdiği zararlı bir uygulamaya bu izni verdiğinde, virüs cihaz üzerinde tam ve sınırsız bir kontrol yetkisi elde ediyor.

Virüs, bu yetkiyi kullanarak bir tür sanal casusluk yapıyor. Mesajlar ağ üzerinde şifreli olsa bile, cihaza ulaşıp şifresi çözüldükten ve ekrana yansıdıktan hemen sonra devreye giriyor. Keylogging (tuş kaydetme) ve ekran içeriğini anlık olarak kaydetme yetenekleri sayesinde, siz mesajınızı okurken veya yazarken Sturnus arka planda tüm içeriği kaydedip siber suçlulara iletiyor. Bu teknik, veri şifrelenmeden veya şifresi çözüldükten sonra ele geçirildiği için, uçtan uca şifreleme korumasını by-pass etmeyi başarıyor.

Sahte ekranlarla banka hesaplarını boşaltıyor

Sturnus’un birincil ve en yıkıcı amacı ise elbette finansal dolandırıcılık. Yazılım, kurbanın telefonunda yüklü olan bankacılık uygulamalarını hızla tespit edebiliyor. Kullanıcı kendi bankacılık uygulamasını açtığı anda, Sturnus hemen harekete geçiyor ve gerçek uygulamanın üzerine birebir kopyalanmış sahte bir giriş penceresi (Overlay Attack) yerleştiriyor. Kullanıcının giriş bilgilerini bu sahte ekrana girmesiyle birlikte, tüm kullanıcı adı ve şifreler anında siber suçluların eline geçiyor.

Araştırmacılar, bu zararlı yazılımın yeteneklerinin banka bilgisi çalmakla sınırlı olmadığını belirtiyor. VNC (Virtual Network Computing) özelliği sayesinde saldırganlar, enfekte olmuş cihaza uzaktan bağlanıp tam yönetim kontrolü sağlayabiliyorlar. Bu sayede, kurbanın haberi olmadan ekranı karartarak arka planda para transferi yapabilir, banka işlemlerinin onayında kullanılan SMS kodlarını okuyup silebilir ve hatta cihaza yüklü olan güvenlik yazılımlarının işlevini durdurabilirler. Bu durum, virüsün mobil cihaz üzerinde tam bir diktatörlük kurduğu anlamına geliyor.

Gelişmiş android tehditlerinden korunma yöntemleri

Sturnus ve benzeri sinsi mobil tehditlerden korunmak, güçlü bir dijital farkındalık gerektiriyor. Siber güvenlik uzmanlarının bu konudaki hayati önerileri şunlardır:

Sadece resmi mağazaları kullanın: Uygulamaları yalnızca Google Play Store gibi resmi ve güvenilir kaynaklardan indirin. Sturnus genellikle üçüncü parti mağazalar veya e-posta yoluyla gönderilen sahte APK'lar aracılığıyla yayılmaktadır.

İzin istenen uygulamaları sorgulayın: Bir uygulamanın temel işleviyle alakasız, özellikle de "Erişilebilirlik" gibi son derece geniş yetkiler isteyen izinleri talep etmesi her zaman şüphe uyandırmalıdır. Bu tür hassas izinleri verirken çok dikkatli olun.

Güvenlik yazılımlarını güncel tutun: Cihazınızda güncel ve tanınmış bir antivirüs/anti-malware uygulaması bulundurun. Ayrıca, Google'ın yerleşik güvenlik aracı olan Google Play Protect özelliğinin sürekli aktif olduğundan emin olun.