Mobil kötü amaçlı yazılım, özellikle Türkiye’deki kullanıcıları hedef alarak “dava dosyası görüntüleme”, sosyal destek uygulamaları veya Chrome tarayıcısı gibi orijinal Android uygulamalarını taklit eden APK dosyaları şeklinde dağıtılıyor. Kullanıcıların bankacılık bilgilerini çalmak, hassas cihaz verilerini toplamak, SMS göndermek ve başka kötü amaçlı işlemler gerçekleştirmek üzere tasarlanan Frogblight, bölgedeki mobil kullanıcılar için ciddi bir tehdit oluşturuyor.
Türkiye’deki kullanıcıların bildirdiği oltalama vakalarını inceleyen Kaspersky araştırmacıları, zararlı yazılımın olası dağıtım yöntemlerinden birinin smishing (SMS üzerinden oltalama) kampanyaları olabileceğini belirledi. Bu senaryoda kurbanlar, bir mahkeme sürecine dahil olduklarını iddia eden ve iletilen bağlantıyı takip ederek bir uygulama yüklemelerini isteyen aldatıcı SMS’ler alıyor. Bu yöntemle dağıtıldığı değerlendirilen Frogblight örneklerinden biri, başlatıldıktan sonra dava dosyalarına erişim bahanesiyle SMS’lere ve cihaz depolamasına erişim izni talep ediyor. Ardından resmi bir devlet web sayfasını yükleyerek kullanıcıya yerel bir çevrimiçi bankacılık hizmeti üzerinden giriş yapmasını öneriyor. Zararlı yazılım, bu giriş denemeleri sırasında özellikle bankacılık kimlik bilgilerini kaydediyor.
Kötü amaçlı yazılımın yeni varyantları, Chrome tarayıcısı ya da sosyal destek uygulamaları kılığına girerek kullanıcıları yanıltmaya devam ediyor. Ayrıca Kaspersky, Frogblight’ın kontrol panelini de ortaya çıkardı. “fr0g” olarak adlandırılan, kurbağa temalı bu panel Trojan’a ismini veren unsur oldu. Bunun yanı sıra, Frogblight’ın dağıtımında kullanılan oltalama siteleri de tespit edildi; bu sitelerin kaynak kodlarının GitHub’da herkese açık olduğu ve Coper gibi diğer kötü amaçlı yazılımlarla ilişkili depolarla bağlantılar içerdiği görüldü. Bu durum, saldırının kötü amaçlı yazılım hizmeti modeliyl (malware-as-a-service (MaaS)) ilişkili olabileceğine işaret ediyor.
Kaspersky Kötü Amaçlı Yazılım Analisti Georgy Bubenok şöyle dedi:
“Kullanıcı bilgilerinin çalınması, gelişmiş casus yazılım yetenekleri ve aktif geliştirme süreciyle Frogblight, mobil bankacılık tehditlerinde endişe verici bir aşamayı temsil ediyor. Zararlı yazılımın, mağdurları kandırmak için resmi devlet portallarını kullanması, bölgesel kullanıcıları hedef alan siber suçluların giderek artan sofistikasyonunu gözler önüne seriyor. Elde ettiğimiz bulgular Frogblight’ın daha geniş çapta dağıtıma geçmeden önce son rötuşlardan geçtiğini düşündürüyor. Finansal kayıpların önüne geçmek için kullanıcıların derhal dikkatli davranması gerektiğini vurguluyoruz.”
Kaspersky, Frogblight ve benzeri tehditlere karşı korunmak için şu önerilerde bulunuyor:
- Uygulamaları yalnızca resmi uygulama mağazalarından indirin; SMS yoluyla gönderilen bağlantılardan veya güvenilir olmayan sitelerden APK yüklemekten kaçının.
- Özellikle SMS erişimi isteyen uygulama izinlerini dikkatle inceleyin.
- Android cihazlarda Kaspersky Premium gibi güvenilir bir antivirüs yazılımı kullanın. Kaspersky’nin oltalama tespit mekanizmaları, kullanıcıların açtığı her bağlantıyı çok katmanlı bir yapıyla korur. Örneğin bildirim koruması, mesajlaşma uygulamaları ve SMS dahil tüm uygulamalardaki gelen bildirimleri analiz ederek kullanıcı uygulamayı açmadan önce dolandırıcılık amaçlı veya şüpheli bağlantıları tespit eder ve engeller.
Kaynak : 