Ghimob Android Bankacılık Trojanı Finansal Uygulamalardan Bilgi Çalıyor 

Brezilya, Latin Amerika ve Avrupa’da dört ay önce etkili olan “Tetrade” bankacılık trojanının ardından, güvenlik araştırmacıları bu saldırının arkasındaki grubun mobil cihazları hedef alan yeni bir casus yazılım ile işbaşında olduğunu ortaya çıkardı.

Yapılan analizler sonucunda, Brezilya merkezli siber suç örgütü Guildma’nın “Ghimob” adı verilen Android tabanlı bankacılık trojanı ile bankalardan, finansal teknoloji şirketlerinden, borsalardan ve kripto para borsalarından finansal bilgi çaldığı anlaşıldı. Söz konusu suçların işlendiği ülkeler ise Brezilya, Paraguay, Peru, Portekiz, Almanya, Angola ve Mozambik.

Ghimob, tüketicilerin cebindeki tam teşekküllü casusu temsil ediyor: Enfeksiyon tamamlandığı anda siber suçlu ilgili cihaza uzaktan bağlanabiliyor, kurbanın akıllı telefonu aracılığıyla dolandırıcılık bazlı işlemi tamamlayabiliyor. Böylece cihaz tanımlamasını, finansal kurumlar tarafından uygulanan güvenlik bariyerlerini ve diğer dolandırıcılık karşıtı sistemleri aşıyor.

Oltalama e-postaları yine iş başında!

Guildma ile aynı altyapıyı barındıran Ghimob, kötü amaçlı yazılımını yaymak için oltalama e-postaları kullanıyor. Kurbanlar kötü amaçlı yazılım barındıran URL’ye tıkladığında Ghimob APK (Android Package Kit) cihaza indiriliyor.

Cihaza yüklendiği zaman, tıpkı diğer RAT (uzaktan erişimli trojan) versiyonları gibi davranan yazılım, kendisini “app drawer” içerisinde, ikonunu saklayarak gizliyor. App drawer, akıllı telefonlarda tüm yüklü uygulamaların yer aldığı sekmeyi temsil ediyor.

Direnç kazanmak için Android’in erişilebilirlik içeriklerine saldıran trojan, elle yükleme özelliğini devre dışı bırakıyor ve bankacılık trojanının tuş girişlerini kaydetmesine olanak tanıyor. Ek olarak ekran içeriğini manipüle ediyor ve saldırgana uzaktan tam kontrol imkânı veriyor.

Cihazın ekran kilidini bile açıyor…

Ghimob, ekran kilidi görevi gören deseni bile kaydederek cihazın kilidin açılmasını sağlıyor. Siber suçlu cihaz üzerinde bir finansal işlem yapacağı zaman, ek katman olarak siyah bir ekran açabiliyor veya bir web sayfasını tam ekran haline getiriyor. Böylece, kullanıcı ekrana bakarsan siber suçlu kullanıcının giriş yapmış olduğu finansal uygulama üzerinden işlem gerçekleştiriyor.

Hedef aldığı finansal kurumlar ve müşterilerileri ele alındığında faaliyet alanı birçok ülkeye sıçrayan Brezilya merkezli ilk mobil bankacılık trojanını temsil eden Ghimob’un yaklaşık 153 mobil uygulamayı hedef aldığı bildirildi. Söz konusu uygulamardan 112’sinin Brezilya’da yer alan finansal kurumlardan Almanya, Portekiz, Peru, Paraguay, Angola ve Mozambik’teki kripto para ve bankacılık uygulamalarına kadar uzandığı ifade ediliyor.