ABD merkezli siber güvenlik şirketi Zimperium zLabs, Türkiye'deki bankacılık sektörüne yönelen yeni bir siber tehdit tespit etti. Rapora göre, Android cihazlarda yayılan “GodFather” adı verilen bir zararlı yazılım, banka ve kripto para kullanıcılarını hedef alarak şifrelerden PIN’lere kadar birçok hassas bilgiye erişebiliyor.
Tehdit, MP3 indirme bahanesiyle sunulan bir mobil uygulama üzerinden yayılıyor. Kullanıcılara önce “tüm izinleri aç” uyarısı yönlendirmesi yapılıyor. Eğer kullanıcı bu izinleri onaylarsa cihaz, zararlı yazılıma tamamen teslim ediliyor.
VİRÜS NASIL ÇALIŞIYOR?
Virüs cihazda aktif hale geldiğinde, sahte bankacılık arayüzleri oluşturarak kullanıcının kimlik bilgilerinin çalınmasına izin veriyor. “GodFather” adıyla bilinen bu yazılım, bankacılıktan kripto para platformlarına kadar birçok finansal işlemde tehlike arz ediyor. Uzmanlar, cihazlara yalnızca resmi marketlerden ve güvenilir kaynaklardan uygulama yüklenmesi gerektiğini vurguluyor.
GodFather, VirtualApp, XposedBridge, XposedInstaller ve Xposed gibi yaygın açık kaynak bileşenlerden faydalanarak cihazda sahte bir dosya sistemi kuruyor. Ana bir uygulama (host app) üzerinden sisteme entegre olan bu yazılım, kullanıcıyı farkında bile olmadan yönlendirdiği tuzak ortamlara çekiyor.
Virüs, ilk kez Haziran 2021’de tespit edildi ve Anubis truva atı üzerine inşa edildiği anlaşıldı. Uzmanlara göre, Türkiye’deki 12 bankacılık uygulaması bu tehditten etkilenmiş durumda. Bununla birlikte, küresel çapta yaklaşık 500 mobil platformun risk altında olduğu belirtiliyor. Hedef listesinde ise kripto para cüzdanlarından e-ticaret platformlarına, iletişim ve sosyal medya uygulamalarına kadar pek çok mobil hizmet bulunuyor.
GodFather yalnızca kullanıcı verilerini çalmakla kalmıyor, cihazda yapılan işlemleri anlık izleyip yönlendirmeyi de başarabiliyor. Uzaktan kontrol sistemi sayesinde saldırganlar, kurbanların cihazlarını yönetebiliyor, güvenlik kontrollerini aşacak yeni taktikler geliştirebiliyor.
Virüs, kendisini tespit edilmez hale getirmek için APK dosya yapısını değiştirip ZIP formatını manipüle ediyor, Android Manifest dosyasını modifiye ediyor.
