Mobil Truva atları eski yöntemlere döndü ve WAP üzerinden para çalıyor


Mobil Truva atları eski yöntemlere döndü ve WAP üzerinden para çalıyor

Kaspersky Lab araştırmacıları “Trojan clicker” adı verilen ve Android cihaz kullanıcılarından (ek bir kayıt işlemi gerektirmeyen bir doğrudan mobil ödeme türü olan) WAP faturalama hizmeti aracılığıyla para çalan Truva atı türü özelinde alışılmışın dışında bir artış tespit etti. Bir süredir pek rastlanmayan bu Truva atlarının kullanımı, 2017’nin ikinci çeyreğinde şaşırtıcı derecede olağan bir hale gelerek, Rusya ve Hindistan başta olmak üzere, dünya çapında birçok farklı ülkede binlerce kullanıcıyı etkiledi.

Kablosuz Uygulama Protokolü (Wireless Application Protokol - WAP) üzerinden yapılan faturalama, mobil operatörler tarafından ücretli hizmetler ve abonelikler özelinde uzun yıllardır kullanılıyor. Bu mobil ödeme türünde, kredi kartı kaydı veya başka bir kayıt işlemi gerekmeksizin, ücretler doğrudan kullanıcının faturasına yansıyor. Kullanıcılar genellikle bir buton aracılığıyla farklı bir web sayfasına yönlendiriliyor ve kendisine bir dizi ek hizmetler sunuluyor. İstediği ek hizmetin üzerine tıklayan kullanıcı, aboneliğini başlatıyor ve ücretler faturasına ekleniyor. Söz konusu zararlı yazılım ise tüm bu adımları gizli bir şekilde gerçekleştiriyor ve tek başına tüm sayfalara tıklıyor. Ek olarak, mobil operatörün faturalama sistemine kendi alan adlarını kaydeden dolandırıcılar, bu sayede web sitelerini kolaylıkla WAP faturalama hizmetine bağlayabiliyor. Sonuç olarak da para kurbanın hesabından doğrudan suçluların hesabına akıyor.

Kaspersky Lab, “TOP 20 mobil zararlı yazılımlar” listesinde WAP faturalama hizmetini kullanan birçok bilinen Truva atı ailesi tespit etti. Tüm Truva atı sürümleri, mobil internetle aktif hale geçmek için Wi-Fi ağını devre dışı bırakarak mobil veriyi açabiliyor. En popüler ve Trojan-Clicker.AndroidOS.Ubsod zararlı yazılım ailesine ait olan Truva atı, bağlı olduğu komuta ve kontrol sunucusundan internet adresleri (URL) alarak açıyor. KSN istatistiklerine göre, bu Truva atı Temmuz 2017’de 82 ülkeden yaklaşık 8000 kullanıcıya bulaştı.

Bu hırsızlık senaryosunu kullanan bir diğer popüler zararlı yazılım ise WAP faturalama bağlantılı butonlara basmak için Java Script dosyaları kullanıyor. Örneğin, reklamlar aracılığıyla yayılan ve batarya optimizasyonu uygulamaları gibi faydalı uygulamaların kılığına giren Xafekopy Truva atı, kullanıcıları çeşitli hizmetlere abone yapıp paralarını çalabiliyor. Kaspersky Lab uzmanlarının bulgularına göre, bu yazılım yakın zamanlarda yine Kaspersky Lab tarafından tespit edilen Ztorg zararlı yazılımıyla benzerlikler taşıyor. Ztrog gibi Xafekopy de Çince kodlar içeriyor.

Autosus ve Podec gibi bazı Truva atı aileleri ise Cihaz Yöneticisi haklarını kötüye kullanıyor ve bu da silinmelerini zorlaştırıyor. Dahası, Java Script dosyalarını kullanan Truva atları CAPTCHA kodu girme zorunluluğunu aşabiliyor. Örneğin 2015’ten bu yana faal olan Podec bunlardan biri ve Kaspersky Lab verilerine göre Temmuz 2017’de en sık rastlanan üçüncü Truva atıydı. Halen en çok Rusya’da faaliyet gösteriyor ve o da WAP faturalama sisteminden faydalanıyor.

Kaspersky Lab güvenlik uzmanlarından Roman Unuchek, “Bu tür Truva atlarına bir süredir rastlanmıyordu. Son zamanlarda bu kadar popüler olmalarına bakılacak olursa, siber suçlular WAP faturalama gibi eski ve güvenilir bazı metotları yeniden kullanmaya başladı. Üst kalite bir SMS Truva atı yaratmak daha zordur. Bu zararlı yazılımların ağırlıklı olarak Rusya ve Hindistan’ı hedef alıyor olması da ilginç. Bu herhalde bu ülkelerin yerel telekomünikasyon pazarlarıyla ilgili bir durum, fakat aynı yazılımlara Güney Afrika ve Mısır’da da rastladık” diyor.

Zararlı olabilecek faaliyetleri engellemek ve korunmak adına, Kaspersky Lab, kullanıcılara cihazlarına yükledikleri uygulamalar konusunda dikkatli olmalarını, bilinmeyen kaynaklardan uygulama yüklememelerini ve cihaz yazılımlarını güncel tutmalarını öneriyor.

Kaspersky Lab ayrıca Kaspersky Mobile Antivirus: Web Security & AppLock gibi güvenilir, kullanıcı gizliğini ve kişisel bilgilerini Android tehditlerine karşı koruyan bir güvenlik çözümü yüklemeyi tavsiye ediyor.

WAP faturalama sistemini kötüye kullanan Truva atları hakkında ayrıntılı bilgiyi Securelist.com adresini ziyaret edebilirsiniz.

 


İlginizi Çekebilecek Yazılar





İletişim | Gizlilik | Kullanım Koşulları