{"id":5438,"date":"2018-11-26T15:08:23","date_gmt":"2018-11-26T12:08:23","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=5438"},"modified":"2019-11-15T14:36:12","modified_gmt":"2019-11-15T11:36:12","slug":"rotexy-banker-blocker","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/rotexy-banker-blocker\/5438\/","title":{"rendered":"Rotexy Truva At\u0131: banker ve engelleyici"},"content":{"rendered":"

Bir Bankac\u0131l\u0131k Truva At\u0131n\u0131n ve engelleyici fidye yaz\u0131l\u0131m\u0131n\u0131n<\/a> kar\u0131\u015f\u0131m\u0131 olan mobil k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131, Rotexy, bir s\u00fcredir a\u011flar\u0131n\u0131 \u00f6r\u00fcyor. Uzmanlar\u0131m\u0131z, A\u011fustos ve Eyl\u00fcl aylar\u0131 boyunca bu k\u00f6t\u00fc ama\u00e7l\u0131 uygulamay\u0131 Android kullanan ak\u0131ll\u0131 telefonlara yerle\u015ftirmek i\u00e7in 40.000\u2019den fazla giri\u015fimde bulunuldu\u011funu kaydetti. Daha \u00f6nce Securelist\u2019te bu canavar\u0131n biyografisini ve teknik detaylar\u0131n\u0131 yay\u0131nlam\u0131\u015ft\u0131k<\/a>, burada da vir\u00fcs\u00fcn kaynaklar\u0131n\u0131 ve bu vir\u00fcs\u00fcn yaln\u0131zca birka\u00e7 basit SMS ile \u00fccretsiz olarak nas\u0131l ortadan kald\u0131r\u0131labilece\u011fini inceleyece\u011fiz.<\/p>\n

Rotexy bankac\u0131l\u0131k Truva At\u0131 nas\u0131l \u00e7al\u0131\u015f\u0131yor?<\/h2>\n

Rotexy, SMS ile gelen indirme ba\u011flant\u0131lar\u0131 ve insanlar\u0131 bu ba\u011flant\u0131lara t\u0131klay\u0131p uygulamay\u0131 indirmeye y\u00f6nlendiren ilgi \u00e7ekici metinler sayesinde yay\u0131l\u0131yor. Baz\u0131 durumlarda bu mesajlar bir arkada\u015f\u0131n\u0131z\u0131n telefon numaras\u0131ndan g\u00f6nderiliyor. \u0130nsanlar\u0131 o ba\u011flant\u0131lara t\u0131klamaya iten \u015fey de bu asl\u0131nda.<\/p>\n

Bu Truva At\u0131 bir cihaza bula\u015ft\u0131ktan sonra hummal\u0131 bir \u00e7al\u0131\u015fmaya koyuluyor ve k\u0131sa bir s\u00fcre sonra yapacaklar\u0131 i\u00e7in ortam haz\u0131rlamaya ba\u015fl\u0131yor. Rotexy \u00f6nce yerle\u015fti\u011fi cihaz\u0131 tan\u0131ml\u0131yor. Buradaki ama\u00e7 da antivir\u00fcs ara\u015ft\u0131rmac\u0131lar\u0131n\u0131n \u00e7al\u0131\u015fmalar\u0131n\u0131 yava\u015flatmak. Rotexy bir ak\u0131ll\u0131 telefonda de\u011fil de bir em\u00fclat\u00f6rde oldu\u011funu tespit ederse tek yapt\u0131\u011f\u0131 uygulama ba\u015flatma i\u015flemini sonsuza kadar tekrarlamak oluyor. Rotexy\u2019nin mevcut s\u00fcr\u00fcm\u00fcnde ayn\u0131 \u015fey cihaz\u0131n Rusya d\u0131\u015f\u0131nda oldu\u011funu tespit etmesi durumunda da ger\u00e7ekle\u015fiyor.<\/p>\n

Truva At\u0131, cihaz\u0131n bu temel gereklilikleri sa\u011flad\u0131\u011f\u0131ndan emin oldu\u011funda g\u00f6revini yapmaya ba\u015fl\u0131yor. \u00d6nce sizden y\u00f6netici haklar\u0131n\u0131<\/a> talep ediyor. Teorik olarak, kullan\u0131c\u0131 bu haklar\u0131 vermeyi reddedebilir. Fakat bu durumda talep tekrar tekrar ekrana geliyor ve ak\u0131ll\u0131 telefonu kullanmay\u0131 zorla\u015ft\u0131r\u0131yor. Rotexy istedi\u011fini ald\u0131ktan sonra size uygulaman\u0131n y\u00fcklenemedi\u011fini bildiriyor ve simgesini gizliyor.<\/p>\n

Ard\u0131ndan bu k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m, sahipleri ile ileti\u015fime ge\u00e7iyor ve onlara cihazla ilgili bilgileri aktar\u0131yor. Yan\u0131t olarak talimatlar, bir tak\u0131m \u015fablonlar ve metinler al\u0131yor. Rotexy, varsay\u0131lan ayar olarak do\u011frudan Komuta ve Kontrol sunucusuyla ileti\u015fim kuruyor ama yaz\u0131l\u0131m\u0131n geli\u015ftiricileri Google Cloud Messaging ve SMS arac\u0131l\u0131\u011f\u0131yla komut g\u00f6ndermenin ba\u015fka yollar\u0131n\u0131 da kullan\u0131yor.<\/p>\n

SMS h\u0131rs\u0131z\u0131 Rotexy<\/h2>\n

Rotexy, SMS\u2019lere doyam\u0131yor. Bu k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m, bula\u015ft\u0131\u011f\u0131 bir telefona mesaj geldi\u011finde cihaz\u0131 sessiz moda al\u0131yor. B\u00f6ylece kurban, yeni gelen SMS\u2019lerin fark\u0131na varam\u0131yor. Daha sonra Truva At\u0131 bu mesaj\u0131 ele ge\u00e7iriyor ve Komuta ve Kontrol sunucusundan gelen \u015fablonlarla kar\u015f\u0131la\u015ft\u0131r\u0131yor. Mesaj\u0131n de\u011ferli bir bilgi (\u00f6rne\u011fin mobil bankac\u0131l\u0131k sisteminizin SMS bildirimindeki kredi kart\u0131 numaran\u0131z\u0131n son haneleri) i\u00e7erdi\u011fini g\u00f6rd\u00fc\u011f\u00fcnde o bilgileri depoluyor ve sunucuya yolluyor. Dahas\u0131, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m mesajlara ak\u0131ll\u0131 telefon sahibi ad\u0131na yan\u0131t verebiliyor. Yan\u0131tlarda kullan\u0131lan metinler de gerekti\u011finde kullan\u0131lmak \u00fczere \u015fablonlar\u0131n i\u00e7inde bekliyor.<\/p>\n

Rotexy bir sebepten \u00f6t\u00fcr\u00fc Komuta ve Kontrol sunucusundan hi\u00e7bir \u015fablon veya \u00f6zel talimat almazsa, bula\u015ft\u0131\u011f\u0131 ak\u0131ll\u0131 telefondaki t\u00fcm yaz\u0131\u015fmalar\u0131 kaydediyor ve geli\u015ftiricilerine yolluyor.<\/p>\n

Rotexy bunlarla da kalm\u0131yor, siber su\u00e7lular\u0131n komutuyla kendisini indirme ba\u011flant\u0131s\u0131n\u0131 i\u00e7eren bir mesaj\u0131 telefon rehberindeki herkese g\u00f6nderebiliyor. Rotexy Truva At\u0131n\u0131n ana yay\u0131lma vekt\u00f6rlerinden biri de bu.<\/p>\n

Bankac\u0131l\u0131k Truva At\u0131 Rotexy<\/h2>\n

SMS manip\u00fclasyonu Rotexy\u2019nin elindeki tek koz de\u011fil, hatta en \u00f6nemlisi bile de\u011fil. Asl\u0131nda geli\u015ftiricilerine para kazand\u0131rmak i\u00e7in en \u00f6nemli kozu banka kart\u0131 verilerini \u00e7almas\u0131. Bunun i\u00e7in SMS ele ge\u00e7irme talimatlar\u0131yla birlikte gelen bir metnin g\u00f6r\u00fcnt\u00fcledi\u011fi kimlik av\u0131 sayfas\u0131n\u0131 ekrana getiriyor. Sayfan\u0131n g\u00f6r\u00fcnt\u00fcs\u00fc de\u011fi\u015fse de ama\u00e7, genel olarak ak\u0131ll\u0131 telefonun sahibine bekleyen bir para transferi oldu\u011funu ve paray\u0131 alabilmek i\u00e7in kart bilgilerini girmesi gerekti\u011fini s\u00f6ylemek.<\/p>\n

K\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131n geli\u015ftiricileri i\u015flerini garantiye almak i\u00e7in kart numaras\u0131n\u0131 do\u011frulayacak bir kontrol mekanizmas\u0131 da kurmu\u015f. \u00d6nce kart numaras\u0131n\u0131n do\u011fru olup olmad\u0131\u011f\u0131n\u0131 kontrol ediyor (bilmeyenler i\u00e7in: kart numaralar\u0131ndaki haneler rastgele de\u011fildir, belli kurallara g\u00f6re olu\u015fturulmu\u015flard\u0131r). Daha sonra, ele ge\u00e7irdi\u011fi bankac\u0131l\u0131k SMS\u2019inden, kart numaras\u0131n\u0131n son d\u00f6rt hanesini al\u0131yor ve onlar\u0131 kimlik av\u0131 sayfas\u0131nda girilenlerle kar\u015f\u0131la\u015ft\u0131r\u0131yor. Uyu\u015fmayan bir \u015fey oldu\u011funda Rotexy hata veriyor ve kullan\u0131c\u0131y\u0131 do\u011fru kart numaras\u0131n\u0131 girmesi i\u00e7in uyar\u0131yor.<\/p>\n

Fidye yaz\u0131l\u0131m\u0131 Rotexy<\/h2>\n

Rotexy bazen Kontrol ve Komuta sunucusundan ba\u015fka talimatlar da al\u0131p farkl\u0131 bir senaryo uyguluyor. Bir kimlik av\u0131 sayfas\u0131 g\u00f6stermek yerine ak\u0131ll\u0131 telefonun ekran\u0131n\u0131 tehditkar bir pencereyle kapl\u0131yor ve \u201cyasakl\u0131 videolar\u0131n d\u00fczenli olarak g\u00f6r\u00fcnt\u00fclenmesi\u201d su\u00e7undan dolay\u0131 bir para cezas\u0131 talep ediyor<\/p>\n

\"\"

Rotexy, g\u00fcncelleme y\u00fcklemesini taklit ettikten sonra ak\u0131ll\u0131 telefon ekran\u0131n\u0131 \u201cyasakl\u0131 videolar\u0131n d\u00fczenli olarak g\u00f6r\u00fcnt\u00fclenmesi\u201d su\u00e7undan dolay\u0131 ceza \u00f6denmesi talebiyle kapl\u0131yor.<\/p><\/div>\n

\u00a0<\/p>\n

Foto\u011fraf \u201ckan\u0131t\u0131\u201d olarak da pornografik bir videonun g\u00f6r\u00fcnt\u00fcs\u00fc ekleniyor. Mobil fidye yaz\u0131l\u0131mlar\u0131nda s\u0131kl\u0131kla g\u00f6r\u00fcld\u00fc\u011f\u00fc gibi siber su\u00e7lular, kendilerini resmi bir kurumdanm\u0131\u015f gibi g\u00f6steriyor. Rotexy de \u00f6zel olarak \u201cFBS Internet Control\u201d ad\u0131nda bir \u015feyden bahsediliyor (fakat Rusya\u2019da bu isimde bir birim yok).<\/p>\n

Rotexy Truva At\u0131 bula\u015fm\u0131\u015f bir ak\u0131ll\u0131 telefonun engeli nas\u0131l kald\u0131r\u0131labilir?<\/h2>\n

Neyse ki uzman yard\u0131m\u0131 olmadan \u201cvir\u00fcs\u201d bula\u015fm\u0131\u015f olan ak\u0131ll\u0131 telefonun engelini kald\u0131rmak ve bu \u201cvir\u00fcs\u201dten kurtulmak m\u00fcmk\u00fcn. Yukar\u0131da belirtti\u011fimiz gibi Rotexy SMS yoluyla komut alabiliyor. \u0130\u015fin g\u00fczel yan\u0131 \u015fu ki bu komutlar\u0131n belirli bir numaradan gelmesi gerekmiyor, herhangi bir numara taraf\u0131ndan g\u00f6nderilebiliyor. Yani ak\u0131ll\u0131 telefonunuz engellendiyse ve k\u00f6t\u00fc ama\u00e7l\u0131 pencereyi kapatam\u0131yorsan\u0131z ihtiyac\u0131n\u0131z olan \u015fey, ba\u015fka bir telefon bulmak (\u00f6rne\u011fin bir arkada\u015f\u0131n\u0131z\u0131n veya yak\u0131n\u0131n\u0131z\u0131n) ve \u015fu basit talimat\u0131m\u0131z\u0131 uygulamak:<\/p>\n