Türkiye’deki Android kullanıcılarını doğrudan etkileyen son derece tehlikeli bir siber tehdit gündeme geldi. “GodFather” isimli kötü amaçlı yazılımın yeni sürümü, Türkiye’deki yaklaşık 12 finans kuruluşunu hedef alan sanallaştırma tabanlı bir saldırı yöntemiyle tespit edildi. Uzmanlar, kullanıcıların PIN kodları, parolalar ve ekran kilidi desenleri gibi tüm hassas verilerinin hedefte olduğunu belirtiyor.
Zimperium siber güvenlik uzmanlarının yayımladığı rapora göre, GodFather virüsünün yeni sürümü Android cihazlarda sanallaştırılmış bir ortam kurarak, gerçek uygulamaların sahte kopyalarını çalıştırıyor. Bu sayede kullanıcı, bankacılık uygulamasına girdiğini zannederken aslında kötü amaçlı bir arayüz üzerinden işlem yapıyor. Yapılan her dokunuş, girilen her bilgi bu sanal ortamda takip ediliyor.
Virüs, Virtualapp, Xposedbridge, XposedInstaller ve Xposed gibi açık kaynak araçlarla çalışarak sanal dosya sistemine yüklenen uygulamaları manipüle ediyor. Ana uygulama (host app) sayesinde sisteme entegre edilen bu sahte yazılımlar, kullanıcının farkında olmadan yönlendirildiği bir tuzak haline dönüşüyor.
12 BANKACILIK UYGULAMASI HEDEFTE
En az Haziran 2021’den bu yana aktif olduğu bilinen GodFather virüsü, sızdırılmış Anubis truva atı kodları üzerine inşa edilmiş. Uzmanlara göre Türkiye’deki 12 bankacılık uygulaması bu yöntemle hedef alındı. Bunun yanı sıra dünya genelinde 500’e yakın uygulama da potansiyel tehdit listesinde bulunuyor. Kripto para cüzdanları, e-ticaret, iletişim ve sosyal medya uygulamaları da risk altında.
Kötü amaçlı yazılım yalnızca bilgi toplamakla kalmıyor; aynı zamanda cihazdaki işlemleri gerçek zamanlı kontrol etme özelliğine de sahip. Saldırganlar, virüsü uzaktan kontrol ederek sanal uygulamaların davranışlarını değiştirebiliyor, güvenlik kontrollerini aşabiliyor ve yeni yöntemler geliştirerek daha fazla kullanıcıyı kandırabiliyor.
GodFather’ın tespit edilmemek adına APK dosya yapısında değişiklikler yaptığı, ZIP formatını manipüle ettiği ve Android Manifest yapısını modifiye ettiği belirtildi. Virüs, aynı zamanda Android’in erişilebilirlik hizmetlerinden faydalanarak, kullanıcılardan gereken izinleri hileyle elde ediyor.
