İSTANBUL (AA) - Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), BeatBanker Truva atının Starlink'in Android uygulaması maskesiyle yayıldığı yeni bir zararlı yazılım kampanyası tespit etti.

Şirketten yapılan açıklamaya göre, saldırganlar öncelikli olarak Brezilya'daki kullanıcıları hedef alsa da Kaspersky uzmanları, diğer ülkelerdeki kullanıcıların da tehditle karşı karşıya kalabileceği konusunda uyarıyor.

Söz konusu Truva atı, cihazlarda Monero kripto para madenciliği yapmasının yanı sıra BTMOB adlı bir uzak erişim aracı (RAT) da yüklüyor.

BeatBanker, sistemde kalıcılığını sürdürmek için neredeyse duyulamayacak kadar düşük seviyede sürekli döngüye alınmış bir ses dosyası, sürekli döngüde olan bir ses dosyası kullanan sıra dışı bir mekanizmadan faydalanıyor.

Kaspersky uzmanlarına göre, siber suçlular, BeatBanker Truva atını içeren sahte bir Starlink uygulamasını, Google Play Store'u taklit eden oltalama (phishing) sayfaları üzerinden dağıtıyor.

Zararlı yazılım bir cihaza yüklendikten sonra, kullanıcıya yine Google Play'i taklit eden bir arayüz gösteriyor. Bu yöntemle saldırganlar kullanıcıları uygulama kurulum izinlerini vermeye ikna ederek ek gizli zararlı bileşenlerin indirilmesine olanak tanıyor.

Kullanıcı sahte Google Play sayfasında 'UPDATE' düğmesine tıkladığında cihazda bir Monero kripto para madencisi devreye giriyor.

BeatBanker, enfekte akıllı telefonun pil seviyesini, cihaz sıcaklığını ve kullanıcı etkinliğini sürekli izlerken, bu veriler doğrultusunda arka planda çalışan gizli kripto madencisi otomatik olarak başlatılıyor veya durduruluyor.

Android Truva atı ayrıca ele geçirilen cihaza BTMOB RAT da kuruyor. Malware-as-a-Service (MaaS) modeliyle satılan bu araç, saldırganlara cihaz üzerinde tam uzaktan kontrol sağlıyor. BTMOB, izinleri otomatik olarak verebilme, sistem bildirimlerini gizleyebilme ve PIN, desen ve parola gibi ekran kilidi bilgilerinin ele geçirilmesine yönelik mekanizmalar içeriyor.

Zararlı yazılım ayrıca saldırganların ön ve arka kameralara erişmesine, GPS konumunu izlemesine ve hassas verileri sürekli olarak toplamasına olanak tanıyor.

BeatBanker, sistemden kaldırılmasını zorlaştırmak için kalıcılık mekanizmaları da kullanıyor. Zararlı yazılım, ön planda sabit bir bildirim göstererek ve arka planda sessiz medya oynatma içeren bir foreground servis çalıştırarak işletim sisteminin zararlı süreci sonlandırmasını engellemeyi amaçlıyor.

- Uygulama izinlerinin incelenmesi gerekiyor

Mobil tehditlere karşı korunmak için Kaspersky, uygulamaların yalnızca Apple App Store ve Google Play gibi resmi uygulama mağazalarından indirilmesini öneriyor.

Ayrıca uygulama yorumlarının mutlaka kontrol edilmesi gerektiğini belirterek, yalnızca resmi internet sitelerindeki bağlantıları kullanmayı ve Kaspersky Premium gibi bir güvenlik çözümü yüklenmesini öneriyor.

Kaspersky, kullanılan uygulamaların izinlerinin dikkatle incelenmesini de önerirken, işletim sistemini ve önemli uygulamaların güncellemeler yayınlandıkça güncel tutulması gerektiği tavsiyesinde bulunuyor.

Açıklamada görüşlerine yer verilen Kaspersky GReAT Amerika ve Avrupa Birimleri Başkanı Fabio Assolini, BeatBanker'ı ilk gördüklerinde bir kamu hizmetleri uygulaması kılığında yayıldığını ve kripto madenciye ek olarak bir bankacılık Truva atı yüklediğini belirtti.

Assolini, son tespitlerindeyse bankacılık modülü yerine BTMOB RAT'ı devreye sokan yeni bir varyantın kullanıldığını gördüklerini vurgulayarak, şu bilgileri verdi:

'Saldırganlar, farklı ülkelerden daha fazla kurbana ulaşmak için Starlink uygulaması gibi yeni bir 'yem' kullanıyor. Bu nedenle kullanıcıların tetikte olması ve akıllı telefonlarını korumak için gelişmiş güvenlik çözümleri kullanmaları kritik önem taşıyor.'