Haberler
BlackRock Saldırısı 337 Android Uygulamasından Bilgi Çalabiliyor
Android uygulamalarını hedef alan yeni kötü amaçlı yazılım BlackRock; bankacılık, çöpçatanlık, sosyal medya ve anında mesajlaşma uygulamalarını hedef alıyor.
Mayıs ayında yapılan güvenlik analizlerinde ortaya çıkarılan BlackRock adlı trojanın, 337 farklı Android uygulamasından bilgi çalabildiği anlaşıldı. BlackRock, Android dünyasında birbirlerinin dizinlerinden türeyen en yeni kötü amaçlı yazılım olarak gösteriliyor.
Analizler, BlackRock’ın Xerxes adlı bir diğer kötü amaçlı yazılım dizininin sızdırılan kaynak kodundan geliştirildiğine işaret ediyor. Xerxes de BlackRock gibi bir başka yazılımın dizininden geliştirilmişti.
Xerxes gibi trojanlara kıyasla daha gelişmiş bir kötü amaçlı yazılım olan BlackRock, uygulamalardan kullanıcı şifreleri ve kredi kartı bilgilerini çalabiliyor. Kendisinden önce gelen bankacılık trojanlarına benzese de BlackRock, çok daha fazla sayıda ve farklı türde uygulamayı hedef alabiliyor.
Kullanıcı adı ve şifresini çalabilen BlackRock, eğer uygulama finansal işlem içeriği sunuyorsa kullanıcıyı kredi kartı bilgilerini girmesi için yönlendirebiliyor. Bu aşamada, “overlays” adı verilen yöntem kullanılıyor. Yani, kullanıcı yasal bir uygulama kullanırken sahte bir ekran beliriyor ve kullanıcı hesap bilgileri ile kredi kartı bilgilerini giriyor.
Hedeflenen veriler çalındıktan sonra, kullanıcı yasal uygulamayı kullanmaya devam ediyor.
Analizler, BlackRock’ın sahte ödeme ekranı ile hedef aldığı uygulamaların ağırlıklı olarak finans ve sosyal medya odaklı uygulamalar olduğunu gösterdi. Aynı zamanda çöpçatanlık, haber, alışveriş, moda ve üretkenlik uygulamalarında da sahte ekranlar ile bilgi çalındığı tespit edildi.
Eski yöntemler işe yarıyor…
BlackRock her ne kadar yeni türemiş bir saldırıyı temsil etse de kullandığı yöntemler çok yeni değil. Bir cihaza yüklendiği zaman, söz konusu trojan kullanıcının Erişilebilirlik içeriğine erişim talep ediyor. Android mobil işletim sisteminin en güçlü içeriklerinden biri olan bu fonksiyon, cihazdaki görevleri düzenleyip kullanıcının adına uygulama çalıştırabiliyor.
BlackRock, bu içeriği kullanarak diğer Android içeriklerine de erişim sağlıyor ve Android DPC (cihaz kullanım kontrolcüsü) ile yönetici seviyesine erişiyor. Ardından, kötü amaçlı birçok işlem gerçekleştirebiliyor. Bunlar arasında SMS mesajlarına müdahale etmek, belli uygulamaları çalıştırmak, özel bildiriler gönderilmesi, antivirüs yazılımlarını devre dışı bırakmak ve diğer fonksiyonlar ön planda.
Saldırı, henüz Play Store’da tespit edilmiş değil. Sahte Google güncelleme paketleri ve üçüncü parti platformlar üzerinden yayılıyor.
