Teknoloji geliştikçe dünya üzerinde bankacılık uygulamaları ve kullananların sayısı hızla artıyor. Bu artışa paralel olarak, kötü niyetli kişiler de bu uygulamalar yoluyla kullanıcılara saldırılar düzenliyor.
Buna en son örnek de 22 Ekim’de Trend Micro istihbarat biriminin Google Play’de bulduğu ve özellikle İspanyolca konuşan kullanıcıları hedefleyen Movil Secure isimli ve bir SMiShing (SMS oltalama) aldatmacasının parçası olan uygulama oldu.
Movil Secure, mobil kimlik doğrulama hizmeti yerine geçen sahte bir bankacılık uygulaması olarak çalışıyor. Profesyonel bir tasarıma ve karmaşık kullanıcı arayüzüne sahip olan uygulama, kullanıcıları aldatarak onların geçerli bir uygulama kullandıklarını sanmalarını amaçlıyor. Aynı geliştiricinin benzer üç sahte uygulama daha oluşturduğunun keşfedilmesi üzerine, siber güvenlik çözümlerinin lider şirketi Trend Micro’nun Google’ı uyarması sonucunda bu uygulamalar Google Play’den kaldırıldı.
19 Ekim’de yayınlanan Movil Secure’ü 6 gün içinde 100’den fazla kişi indirdi. Bu uygulamanın indirilmesinin en büyük nedenlerinden biri İspanya dışında da birçok yatırımı olan İspanya’nın en büyük bankacılık gruplarından BBVA’nın uygulaması şeklinde tasarlanması. BBVA ayrıca müşterilerine en ileri bankacılık teknolojilerini sunması ile de biliniyor. Sahte uygulama her ne kadar BBVA’nın tasarımına benzer bir şekilde oluşturulsa da iyice incelendiğinde bankayla ilgisinin olmadığı anlaşılıyor.
BBVA müşterilerinin bankacılık işlemlerinin online onaylanması için geliştirildiği söylenen uygulamayı iyice inceleyen Trend Micro, aslında casus bir yazılım olduğunu kanıtladı. Oldukça basit bir koda sahip olan uygulamanın pilot bir uygulama olduğu belirtildi.
Nasıl çalışıyor ve kurbanları nasıl etkiliyor?
Uygulama ilk çıktığında cihaz kimliği, OS (işletim sistemi) sürümü ve ülke kodunu elde ederek tüm bu bilgileri yönetim ve kontrol (C&C) sunucusuna gönderiyor. Ayrıca kendisini kullanıcıdan da saklamak için telefon ekranında hiçbir şekilde bir ikon oluşturmuyor.
Toplanan veri, cihaz tanımlama bilgileri ile de sınırlı değil. Aynı zamanda SMS mesajları ve telefon numaralarını da toplayan uygulamanın kodu analiz edildiğinde asıl amacının, casus yazılım şeklinde çalışmak olduğu fark edildi. Uygulamanın yüklendiği cihaza bir SMS geldiğinde, bu SMS’i gönderen telefon numarası ve içeriği C&C sunucusuna ve bir telefon numarasına gönderiliyor. Bu tür bilgilerin değerli olmasının en önemli nedeni SMS’in mobil bankacılık uygulamaları tarafından ağırlıklı olarak bankacılık işlemlerini onaylamak ya da yetkilendirmek için gönderilmesi.
