Fakecalls: konuşan bir Truva atı

Bir bankacılık uygulaması gibi görünen ve banka çalışanları ile yapılan telefon görüşmelerini taklit eden bir Truva atı.

Siber suçlular, her seferinde daha da karmaşık kötü amaçlı yazılımlarla karşımıza çıkıyor. Örneğin geçtiğimiz yıl, Fakecalls adında daha önce görülmemiş bir bankacılık Truva atı ortaya çıktı. Bilinen casusluk özelliklerinin yanı sıra, bir banka çalışanı kılığına bürünerek kurbanla “konuşmak” gibi ilginç bir yeteneği var. Fakecalls hakkında internette çok az bilgi var, biz de kabiliyetlerini gün yüzüne çıkarmaya karar verdik.

Gizli Truva atı

Fakecalls, aralarında KB (Kookmin Bank) ve KakaoBank’ın da bulunduğu tanınmış Kore bankalarının mobil uygulamalarını taklit ediyor. İlginç olan şu ki, Truva atının yaratıcıları, Fakecalls ekranında bilinen logoların yanı sıra, ilgili bankaların destek numaralarını da gösteriyor. Bu telefon numaraları gerçek gibi görünüyor. Mesela 1599-3333 numarasını, KakaoBank resmi internet sitesinin ana sayfasında görmek mümkün.

Truva atı, KB (solda) ve KakaoBank (sağda) bankacılık uygulamalarını taklit ediyor

 

Truva atı yüklendiğinde, kişiler, mikrofon ve kamera, coğrafi konum, çağrı yönetimi vb. dahil bir dizi şeye hemen erişim izni ister.

Bankayı arama

Diğer bankacılık Truva atlarının aksine, Fakecalls müşteri desteği ile yapılan telefon görüşmelerini taklit edebilir. Kurban bankanın destek hattını ararsa, Truva atı bağlantıyı  gizlice keser ve normal arama uygulaması yerine kendi sahte arama ekranını açar. Çağrı normal görünür, ancak aslında şimdi her şey saldırganların kontrolünde.

Bu aşamada Truva atını ele verebilecek tek şey sahte arama ekranı. Fakecalls, sadece bir arayüz diline sahip: Korece. Yani, telefonda başka bir sistem dili seçilirse — örneğin İngilizce — kurban bu işte bir bit yeniği olduğunu anlayacaktır.

Standart arama uygulaması ekranı (solda) ve Fakecalls ekranı (sağda)

 

Çağrı ele geçirildikten sonra iki olası senaryo mevcut: İlkinde, Fakecalls, uygulama giden aramalar yapma iznine sahip olduğu için kurbanı doğrudan siber suçlulara bağlar. İkincisinde ise Truva atı, bankadan gelen standart selamlamayı taklit eden önceden kaydedilmiş sesi çalar.

Giden arama sırasında önceden kaydedilmiş sesi çalan Fakecalls kod parçası

 

Truva atının kurbanla gerçekçi bir diyalog sürdürmesi için siber suçlular, sesli mesaj veya çağrı merkezi çalışanlarının genellikle söylediği birkaç cümleyi (Korece) kaydetti. Örneğin, kurban şöyle bir şey duyabilir: “Merhaba. KakaoBank’ı aradığınız için teşekkür ederiz. Çağrı merkezimiz şu anda beklenenin üzerinde çağrı alıyor. En kısa sürede bir danışman sizinle iletişime geçecektir. <…> Hizmet kalitesini artırmak için görüşmeniz kaydedilecektir.” Veya: “Kookmin Bank’a hoş geldiniz. Görüşmeniz kaydedilecektir. Şimdi sizi bir operatöre bağlayacağız.”

Bu aşamadan sonra, saldırganlar, bir banka çalışanını taklit ederek, kurbanı, bankacılık verilerini veya diğer gizli bilgilerini vermesi için kandırmaya çalışabilir.

Fakecalls, giden aramaların yanı sıra gelen aramaları da taklit edebilir. Siber suçlular kurbanla iletişim kurmak istediğinde, Truva atı sistem ekranı yerine kendi ekranını görüntüler. Sonuçta kullanıcı, siber suçluların kullandığı gerçek numarayı değil, Truva atının ekrana yansıttığı ve banka destek hizmetinin numarasıymış gibi görünen telefon numarasını görür.

Casus yazılım araç kiti

Fakecalls, telefonla müşteri desteğini taklit etmenin yanı sıra daha bilinen bankacılık Truva atı özelliklerine de sahip. Kötü amaçlı yazılım, saldırganların komutuyla, kurbanın telefon mikrofonunu açıp kendi sunucularına kayıt gönderebilir. Ayrıca, telefondan gizlice gerçek zamanlı ses ve video yayınlayabilir.

Bununla da bitmiyor. Yükleme sırasında Truva atının istediği izinleri hatırlıyor musunuz? Siber suçlular bunları cihazın konumunu belirlemek, kişi listesini veya dosyaları (fotoğraflar ve videolar dahil) kendi sunucularına kopyalamak, arama ve kısa mesaj geçmişine erişmek için kullanabilir.

Bu izinler sayesinde kötü amaçlı yazılım, hem kullanıcıyı gözetler hem de cihazı belirli bir dereceye kadar kontrol eder. Bu da, Truva atına gelen aramaları reddetme ve çağrı geçmişinden silme yetkisini verir. Böylece diğer her şeyin yanı sıra, dolandırıcılar, bankalardan gelen gerçek aramaları engelleyebilir ve gizleyebilir.

Kaspersky çözümleri, Trojan-Banker.AndroidOS.Fakecalls kararı ile bu kötü amaçlı yazılımı tespit eder ve cihazı korur.

Kendinizi korumanın yolları

Kişisel verilerinizin ve paranızın siber suçluların eline geçmesini önlemek için aşağıdaki basit ipuçlarını uygulayın:

  • Uygulamaları sadece resmi mağazalardan indirin ve bilinmeyen kaynaklardan gelen yüklemelere izin vermeyin. Resmi mağazalar, tüm programları kontrol eder. Kötü amaçlı yazılımın telefonunuza sızdığı çoğu durumda bile hemen kaldırılır.
  • Uygulamaların istediği izinlere ve bunlara gerçekten ihtiyaç duyup duymadıklarına dikkat edin. Özellikle aramalara, metin mesajlarına erişim, erişilebilirlik vb. gibi potansiyel olarak tehlikeli olan izinleri reddetmekten çekinmeyin.
  • Telefonda asla gizli bilgilerinizi paylaşmayın. Gerçek banka çalışanları, kısa mesajlar aracılığıyla asla çevrimiçi bankacılık giriş bilgilerinizi, PIN kodunuzu, kart güvenlik kodunuzu veya onay kodlarınızı talep etmez. Şüphelenirseniz, bankanın resmi internet sitesinden çalışanların hangi bilgileri talep edebileceklerini öğrenin.
  • Tüm cihazlarınızı bankacılık Truva atlarından ve diğer kötü amaçlı yazılımlardan koruyan  dayanıklı bir güvenlik çözümü.
İpuçları