{"id":7688,"date":"2020-02-18T13:23:52","date_gmt":"2020-02-18T10:23:52","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=7688"},"modified":"2020-02-18T13:23:52","modified_gmt":"2020-02-18T10:23:52","slug":"ginp-mobile-banking-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/ginp-mobile-banking-trojan\/7688\/","title":{"rendered":"Ginp mobil Truva At\u0131 gelen SMS’leri taklit ediyor"},"content":{"rendered":"

Bir telefona giren bankac\u0131l\u0131k Truva Atlar\u0131n \u00e7o\u011fu, SMS mesajlar\u0131na eri\u015fim sa\u011flamaya \u00e7al\u0131\u015f\u0131r. Bunu, bankalardan gelen tek seferlik do\u011frulama kodlar\u0131n\u0131 \u00e7alarak yaparlar. Bu kodla donanm\u0131\u015f k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m sahipleri, kurban hi\u00e7bir \u015feyin fark\u0131na varmadan \u00f6deme yapabilir veya fonlar\u0131 bo\u015faltabilir. Ayn\u0131 zamanda bir\u00e7ok mobil Truva At\u0131, kurban\u0131n kay\u0131tl\u0131 ki\u015filerine k\u00f6t\u00fc birer indirme ba\u011flant\u0131s\u0131 g\u00f6ndererek daha fazla cihaza vir\u00fcs bula\u015fturmak i\u00e7in de SMS\u2019i kullan\u0131r.<\/p>\n

Sizin ad\u0131n\u0131za sald\u0131rgan metin mesajlar\u0131 gibi ba\u015fka \u015feyler yaymak i\u00e7in SMS\u2019i kullanan bir tak\u0131m daha yarat\u0131c\u0131 k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar da bulunur. \u0130lk defa ge\u00e7en sonbaharda tespit etti\u011fimiz Ginp k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131 ise, kurban\u0131n telefonuna asl\u0131nda kimsenin g\u00f6ndermedi\u011fi sahte mesajlar bile g\u00f6nderebiliyor. \u00dcstelik g\u00f6nderdikleri yaln\u0131zca metin mesajlar\u0131yla s\u0131n\u0131rl\u0131 da de\u011fil. En ba\u015ftan ba\u015flayal\u0131m.<\/p>\n

Ginp mobil Truva At\u0131 neler yapabilir<\/h2>\n

Ginp, ilk bak\u0131\u015fta bir bankac\u0131l\u0131k Truva At\u0131\u2019n\u0131n standart becerilerine sahipti. Kurbanlar\u0131n t\u00fcm kay\u0131tl\u0131 ki\u015filerini geli\u015ftiricilerine g\u00f6nderiyor, metin mesajlar\u0131n\u0131 okuyor, banka kart\u0131 bilgilerini \u00e7al\u0131yor ve bankac\u0131l\u0131k uygulamalar\u0131n\u0131n \u00fczerinde kimlik av\u0131 pencereleri g\u00f6r\u00fcnt\u00fcl\u00fcyordu.<\/p>\n

\u0130kinci olarak, uygulama, Android^de g\u00f6rme engelli ki\u015filere y\u00f6nelik bir dizi \u00f6zelli\u011fi i\u00e7eren Eri\u015filebilirlik\u2019i k\u00f6t\u00fcye kullan\u0131yordu. Bu asl\u0131nda olduk\u00e7a yayg\u0131n; bankac\u0131l\u0131k Truva Atlar\u0131 ve ba\u015fka t\u00fcrden bir\u00e7ok k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m, ekrandaki her \u015feye g\u00f6rsel eri\u015fim sa\u011flayabildikleri, hatta butonlara veya ba\u011flant\u0131lara basabildikleri, k\u0131sacas\u0131 telefonunuzun kontrol\u00fcn\u00fc tamamen ele ge\u00e7irebildikleri i\u00e7in bu \u00f6zelli\u011fi kullan\u0131yor.<\/p>\n\n

Fakat Ginp geli\u015ftiricileri bununla kalmad\u0131, s\u00fcrekli daha yarat\u0131c\u0131 becerilerle cephanelerini doldurmaya devam ettiler. \u00d6rne\u011fin, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m, kurbanlar\u0131n belirli uygulamalar\u0131 a\u00e7mas\u0131n\u0131 sa\u011flamak i\u00e7in anl\u0131k bildirimleri ve pop-up mesajlar\u0131 kullanmaya ba\u015flad\u0131; a\u00e7t\u0131rd\u0131klar\u0131 bu uygulamalar\u0131n \u00fczerinde kendi kimlik av\u0131 sayfalar\u0131n\u0131 g\u00f6r\u00fcnt\u00fcleyebiliyorlard\u0131. Bildirimler, kullan\u0131c\u0131lar\u0131n banka kart\u0131 bilgilerini girmeleri gerekti\u011fi beklentisi olu\u015fturacak \u015fekilde zekice yaz\u0131lm\u0131\u015ft\u0131. A\u015fa\u011f\u0131da bir \u00f6rne\u011fini g\u00f6rebilirsiniz (\u0130spanyolca):<\/p>\n

Google Pay: Nos faltan los detalles de su tarjeta de cr\u00e9dito o d\u00e9bito. Utilice Play Store para agregarlos de manera segura.
\n(\u201cGoogle Pay: Kredi kard\u0131 veya banka kart\u0131 bilgileriniz eksik. Bunlar\u0131 g\u00fcvenli bi\u00e7imde eklemek i\u00e7in l\u00fctfen Play Store uygulamas\u0131n\u0131 kullan\u0131n.\u201d)<\/p><\/blockquote>\n

Kullan\u0131c\u0131lar, Play Store uygulamas\u0131nda tam da bekledikleri gibi kart bilgilerinin girilmesini isteyen bir sayfa g\u00f6r\u00fcyorlard\u0131. Ne var ki, bu formu g\u00f6steren Google Pay de\u011fil, Truva At\u0131\u2019yd\u0131; girilen veriler de do\u011fruca siber su\u00e7lulara gidiyordu.<\/p>\n

\"\"

Play Store uygulamas\u0131nda g\u00f6r\u00fcnt\u00fcleniyormu\u015f gibi g\u00f6r\u00fcn\u00fcnen, sahte (ama maalesef \u00e7ok inand\u0131r\u0131c\u0131) bir banka kart\u0131 bilgileri girme penceresi<\/p><\/div>\n

Ginp, Play Store\u2019un da \u00f6tesine ge\u00e7erek bankac\u0131l\u0131k uygulamalar\u0131ndan geliyormu\u015f gibi g\u00f6r\u00fcnen bildirimler de g\u00f6steriyordu:<\/p>\n

B**A: Actividad sospechosa en su cuenta de B**A. Por favor, revise las ultimas transacciones y llame al 91 *** ** 26.
\n(\u201cB**A: B**A hesab\u0131n\u0131zda \u015f\u00fcpheli aktiviteler tespit edildi. L\u00fctfen son i\u015flemleri kontrol edip 91 *** ** 26\u2019y\u0131 aray\u0131n.\u201d)<\/p><\/blockquote>\n

Sahte bildirim, enteresan bi\u00e7imde bankan\u0131n ger\u00e7ek telefon numaras\u0131n\u0131 veriyordu. Dolay\u0131s\u0131yla, arad\u0131\u011f\u0131n\u0131z takdirde hatt\u0131n di\u011fer ucundaki ses size hesab\u0131n\u0131zda bir sorun olmad\u0131\u011f\u0131n\u0131 s\u00f6yleyecekti. Fakat bankay\u0131 aramadan \u00f6nce \u201c\u015f\u00fcpheli aktiviteleri\u201d kontrol etmek isterseniz k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m, bankac\u0131l\u0131k uygulamas\u0131n\u0131n \u00fczerinde kendi sahte sayfas\u0131n\u0131 g\u00f6r\u00fcnt\u00fcleyerek kart bilgilerinizi istiyordu.<\/p>\n

Son derece ikna edici sahte SMS mesajlar\u0131<\/h2>\n

\u015eubat ayn\u0131n\u0131n ba\u015f\u0131nda, Botnet Attack Tracking sistemimiz Ginp\u2019te yeni bir beceri daha tespit etti: Gelen sahte mesaj olu\u015fturabiliyordu. Ama\u00e7, \u00f6ncekiyle ayn\u0131yd\u0131, yani kullan\u0131c\u0131n\u0131n bir uygulamay\u0131 a\u00e7mas\u0131n\u0131 sa\u011flamakt\u0131. Ancak art\u0131k Truva At\u0131 herhangi bir g\u00f6ndericiden geliyormu\u015f gibi g\u00f6r\u00fcnen her t\u00fcrl\u00fc SMS\u2019i olu\u015fturabiliyordu. Sald\u0131rganlar\u0131n bankalardan veya Google\u2019dan geliyormu\u015f gibi g\u00f6r\u00fcn\u00fcn sahte mesajlar g\u00f6ndermesinin \u00f6n\u00fcnde hi\u00e7bir engel yoktu.<\/p>\n

\"\"

Bir bankadan gelmi\u015f gibi g\u00f6r\u00fcnen, kullan\u0131c\u0131dan mobil bir uygulamada \u00f6demeyi do\u011frulamas\u0131n\u0131 isteyen bir mesaj<\/p><\/div>\n

\u00a0<\/p>\n

Kullan\u0131c\u0131lar anl\u0131k bildirimleri her zaman \u00e7ok \u00f6nemsemese de, gelen SMS\u2019leri eninde sonunda okuma e\u011filimindedir. Bu da b\u00fcy\u00fck olas\u0131l\u0131kla herhangi bir kullanc\u0131n\u0131n hesab\u0131nda ne oldu\u011funu g\u00f6rmek i\u00e7in uygulamay\u0131 a\u00e7aca\u011f\u0131 anlam\u0131na gelir. \u0130\u015fte Truva At\u0131 da tam bu noktada kart bilgilerinizi girmeniz i\u00e7in araya sahte bir form sokar.<\/p>\n

Ginp\u2019ten nas\u0131l korunulur<\/h2>\n

Ginp \u015fu anda temel olarak \u0130spanya\u2019daki kullan\u0131c\u0131lar\u0131 hedef al\u0131yor. Ancak taktikleri daha \u00f6nce bir kez de\u011fi\u015fti; eskiden Polonya ve Birle\u015fik Krall\u0131k\u2019taki kullan\u0131c\u0131lar\u0131 da hedef al\u0131yordu. Dolay\u0131s\u0131yla ba\u015fka bir yerde ya\u015f\u0131yor olsan\u0131z dahi siber g\u00fcvenli\u011fin en temel kurallar\u0131n\u0131 daima akl\u0131n\u0131zda tutun. Bankac\u0131l\u0131k Truva Atlar\u0131\u2019na kurban d\u00fc\u015fmemek i\u00e7in:<\/p>\n