Rotexy Truva Atı: banker ve engelleyici

Kasım 26, 2018

Bir Bankacılık Truva Atının ve engelleyici fidye yazılımının karışımı olan mobil kötü amaçlı yazılımı, Rotexy, bir süredir ağlarını örüyor. Uzmanlarımız, Ağustos ve Eylül ayları boyunca bu kötü amaçlı uygulamayı Android kullanan akıllı telefonlara yerleştirmek için 40.000’den fazla girişimde bulunulduğunu kaydetti. Daha önce Securelist’te bu canavarın biyografisini ve teknik detaylarını yayınlamıştık, burada da virüsün kaynaklarını ve bu virüsün yalnızca birkaç basit SMS ile ücretsiz olarak nasıl ortadan kaldırılabileceğini inceleyeceğiz.

Rotexy bankacılık Truva Atı nasıl çalışıyor?

Rotexy, SMS ile gelen indirme bağlantıları ve insanları bu bağlantılara tıklayıp uygulamayı indirmeye yönlendiren ilgi çekici metinler sayesinde yayılıyor. Bazı durumlarda bu mesajlar bir arkadaşınızın telefon numarasından gönderiliyor. İnsanları o bağlantılara tıklamaya iten şey de bu aslında.

Bu Truva Atı bir cihaza bulaştıktan sonra hummalı bir çalışmaya koyuluyor ve kısa bir süre sonra yapacakları için ortam hazırlamaya başlıyor. Rotexy önce yerleştiği cihazı tanımlıyor. Buradaki amaç da antivirüs araştırmacılarının çalışmalarını yavaşlatmak. Rotexy bir akıllı telefonda değil de bir emülatörde olduğunu tespit ederse tek yaptığı uygulama başlatma işlemini sonsuza kadar tekrarlamak oluyor. Rotexy’nin mevcut sürümünde aynı şey cihazın Rusya dışında olduğunu tespit etmesi durumunda da gerçekleşiyor.

Truva Atı, cihazın bu temel gereklilikleri sağladığından emin olduğunda görevini yapmaya başlıyor. Önce sizden yönetici haklarını talep ediyor. Teorik olarak, kullanıcı bu hakları vermeyi reddedebilir. Fakat bu durumda talep tekrar tekrar ekrana geliyor ve akıllı telefonu kullanmayı zorlaştırıyor. Rotexy istediğini aldıktan sonra size uygulamanın yüklenemediğini bildiriyor ve simgesini gizliyor.

Ardından bu kötü amaçlı yazılım, sahipleri ile iletişime geçiyor ve onlara cihazla ilgili bilgileri aktarıyor. Yanıt olarak talimatlar, bir takım şablonlar ve metinler alıyor. Rotexy, varsayılan ayar olarak doğrudan Komuta ve Kontrol sunucusuyla iletişim kuruyor ama yazılımın geliştiricileri Google Cloud Messaging ve SMS aracılığıyla komut göndermenin başka yollarını da kullanıyor.

SMS hırsızı Rotexy

Rotexy, SMS’lere doyamıyor. Bu kötü amaçlı yazılım, bulaştığı bir telefona mesaj geldiğinde cihazı sessiz moda alıyor. Böylece kurban, yeni gelen SMS’lerin farkına varamıyor. Daha sonra Truva Atı bu mesajı ele geçiriyor ve Komuta ve Kontrol sunucusundan gelen şablonlarla karşılaştırıyor. Mesajın değerli bir bilgi (örneğin mobil bankacılık sisteminizin SMS bildirimindeki kredi kartı numaranızın son haneleri) içerdiğini gördüğünde o bilgileri depoluyor ve sunucuya yolluyor. Dahası, kötü amaçlı yazılım mesajlara akıllı telefon sahibi adına yanıt verebiliyor. Yanıtlarda kullanılan metinler de gerektiğinde kullanılmak üzere şablonların içinde bekliyor.

Rotexy bir sebepten ötürü Komuta ve Kontrol sunucusundan hiçbir şablon veya özel talimat almazsa, bulaştığı akıllı telefondaki tüm yazışmaları kaydediyor ve geliştiricilerine yolluyor.

Rotexy bunlarla da kalmıyor, siber suçluların komutuyla kendisini indirme bağlantısını içeren bir mesajı telefon rehberindeki herkese gönderebiliyor. Rotexy Truva Atının ana yayılma vektörlerinden biri de bu.

Bankacılık Truva Atı Rotexy

SMS manipülasyonu Rotexy’nin elindeki tek koz değil, hatta en önemlisi bile değil. Aslında geliştiricilerine para kazandırmak için en önemli kozu banka kartı verilerini çalması. Bunun için SMS ele geçirme talimatlarıyla birlikte gelen bir metnin görüntülediği kimlik avı sayfasını ekrana getiriyor. Sayfanın görüntüsü değişse de amaç, genel olarak akıllı telefonun sahibine bekleyen bir para transferi olduğunu ve parayı alabilmek için kart bilgilerini girmesi gerektiğini söylemek.

Kötü amaçlı yazılımın geliştiricileri işlerini garantiye almak için kart numarasını doğrulayacak bir kontrol mekanizması da kurmuş. Önce kart numarasının doğru olup olmadığını kontrol ediyor (bilmeyenler için: kart numaralarındaki haneler rastgele değildir, belli kurallara göre oluşturulmuşlardır). Daha sonra, ele geçirdiği bankacılık SMS’inden, kart numarasının son dört hanesini alıyor ve onları kimlik avı sayfasında girilenlerle karşılaştırıyor. Uyuşmayan bir şey olduğunda Rotexy hata veriyor ve kullanıcıyı doğru kart numarasını girmesi için uyarıyor.

Fidye yazılımı Rotexy

Rotexy bazen Kontrol ve Komuta sunucusundan başka talimatlar da alıp farklı bir senaryo uyguluyor. Bir kimlik avı sayfası göstermek yerine akıllı telefonun ekranını tehditkar bir pencereyle kaplıyor ve “yasaklı videoların düzenli olarak görüntülenmesi” suçundan dolayı bir para cezası talep ediyor

Rotexy, güncelleme yüklemesini taklit ettikten sonra akıllı telefon ekranını “yasaklı videoların düzenli olarak görüntülenmesi” suçundan dolayı ceza ödenmesi talebiyle kaplıyor.

 

Fotoğraf “kanıtı” olarak da pornografik bir videonun görüntüsü ekleniyor. Mobil fidye yazılımlarında sıklıkla görüldüğü gibi siber suçlular, kendilerini resmi bir kurumdanmış gibi gösteriyor. Rotexy de özel olarak “FBS Internet Control” adında bir şeyden bahsediliyor (fakat Rusya’da bu isimde bir birim yok).

Rotexy Truva Atı bulaşmış bir akıllı telefonun engeli nasıl kaldırılabilir?

Neyse ki uzman yardımı olmadan “virüs” bulaşmış olan akıllı telefonun engelini kaldırmak ve bu “virüs”ten kurtulmak mümkün. Yukarıda belirttiğimiz gibi Rotexy SMS yoluyla komut alabiliyor. İşin güzel yanı şu ki bu komutların belirli bir numaradan gelmesi gerekmiyor, herhangi bir numara tarafından gönderilebiliyor. Yani akıllı telefonunuz engellendiyse ve kötü amaçlı pencereyi kapatamıyorsanız ihtiyacınız olan şey, başka bir telefon bulmak (örneğin bir arkadaşınızın veya yakınınızın) ve şu basit talimatımızı uygulamak:

  • Kendi numaranıza “393838” yazılı bir SMS gönderin. Kötü amaçlı yazılım, bu mesajı Komuta ve Kontrol sunucusunun adresini boş bir adresle değiştirmesini isteyen bir komut olarak algılayacaktır ve siber suçluların emirlerini yerine getirmeyi bırakacaktır.
  • Daha sonra telefonunuza “3458” yazılı bir SMS gönderin, bu da Truva Atından yönetici izinlerini alacak ve cihazınız üzerindeki kontrolünü kaybetmesine sebep olacaktır.
  • Son olarak kendi telefonunuza “stop_blocker” yazılı bir SMS gönderin: Bu komut sayesinde Rotexy, ekranı engelleyen siteyi veya panoyu kaldırmak zorunda kalacaktır.
  • Bu işlemden sonra Truva Atı sizi yönetici hakları isteyerek rahatsız etmeye devam ederse cihazınızı güvenli modda tekrar başlatın (nasıl yapabileceğinizi burada görebilirsiniz), Uygulama Yöneticisi veya Uygulamalar ve Bildirimler (farklı Android sürümleri ayarlarını kendine göre düzenler) bölümüne gidin ve kötü amaçlı yazılımı cihazınızdan kaldırın, bu sefer Truva Atı size direnemeyecektir. Hepsi bu!

Akıllı telefonunuzun engelini kaldırma talimatlarının mevcut Rotexy sürümü üzerine yapılan analize dayanarak oluşturulduğunu unutmayın. Gelecek sürümlerde değişiklikler olabilir. Securelist’te yayınlanan raporda bu Truva Atı hakkında daha fazla teknik detay mevcuttur.

Rotexy ve diğer mobil Truva Atlarına karşı kendimizi nasıl koruyabiliriz?

Bitirmeden önce ilk aşamada kötü amaçlı yazılımın akıllı telefonunuza bulaşmasını önleyerek daha az vakit kaybedeceğinizi ve sinirlerinizin daha az yıpranacağını belirtmeliyiz. Virüslerden kaçınmak zor değildir, esas olarak birkaç basit kurala uymalısınız:

  • Mesajlardaki şüpheli bağlantılara tıklamayın. Mesajın içeriğini merak etseniz veya mesaj arkadaşınızdan gelmiş gibi görünse bile önce arkadaşınızın gerçekten bir şey gönderip göndermediğini kontrol edin.
  • Android uygulamalarını sadece Google Play’den indirin. Telefon ayarlarınıza giderek bilinmeyen kaynaklardan program yüklenmesini engellemek de iyi bir fikirdir.
  • Güvenilir bir mobil virüsten koruma yazılımı kullanarak zararlı bir bağlantıya yanlışlıkla tıklasanız veya dokunsanız bile kötü amaçlı yazılımlara karşı korunun.