"Ücretsiz film, dizi ve maç yayını" vaadiyle yayılan sahte bir Android uygulamasının, aslında kullanıcıların banka hesaplarını saniyeler içinde boşaltan gelişmiş bir Truva atı olduğu ortaya çıktı. Siber güvenlik firması Cleafy tarafından yayımlanan rapora göre, 'Mobdro Pro IP TV + VPN' adıyla dağıtılan zararlı yazılım Avrupa'da 3 binden fazla cihazı etkilerken, yazılımın kodlarında bulunan Türkçe ifadeler, bu küresel siber saldırının arkasında Türkiye bağlantılı bir grubun olabileceği yönündeki şüpheleri güçlendirdi.
ÜCRETSİZ YAYIN VAADİYLE KANDIRIYORLAR
Saldırının ilk adımı, dolandırıcıların en sık kullandığı sosyal mühendislik taktiklerinden birine dayanıyor: Karşılıksız bir fayda sunma. Sahte uygulama, popüler film ve dizi platformlarındaki veya ücretli spor kanallarındaki yayınları bedava izletme vaadiyle kullanıcıları cezbediyor. Güvenilir olmayan kaynaklardan uygulamayı telefonuna yükleyen kullanıcılar, aslında farkında olmadan 'Klopatra' adlı casus yazılımı kendi elleriyle sistemlerine kurmuş oluyorlar.
EKRANI OKUYUP HESABI BOŞALTIYOR
'Klopatra'nın en tehlikeli özelliği, Android işletim sisteminin "erişilebilirlik servislerini" kötüye kullanması. Normalde engelli bireylerin cihazları daha rahat kullanması için tasarlanan bu servisler, zararlı yazılımın elinde korkunç bir silaha dönüşüyor. Raporlara göre yazılım, bu izinleri kullanarak kullanıcının ekranındaki her şeyi okuyabiliyor, dokunma ve tıklama gibi eylemleri taklit edebiliyor. Bu sayede, siz bankacılık uygulamasına girdiğinizde şifrenizi görüyor, işlem detaylarını okuyor ve hatta sizin yerinize para transferi onayı verebiliyor. Bu yöntem, modern bankacılık dolandırıcılığının en gelişmiş ve tehlikeli tekniklerinden biri olarak kabul ediliyor.
KODLARDAKİ TÜRKÇE İZLER DİKKAT ÇEKTİ
Cleafy ve Euronews'in raporlarında en çok dikkat çeken detay ise, bu sofistike yazılımın kodlarında ve altyapısında bulunan Türkçe izler oldu. Araştırmacılar, yazılımın kod bloğu içinde "ArkaUcKomutIsleyicisi" gibi Türkçe bir fonksiyon adına rastladı. Ayrıca, yazılımın kontrol sunucularından aldığı komut dosyalarında "Etiket", "Eavori_durumu" ve "Bot_notu" gibi Türkçe anahtar kelimeler tespit edildi. Siber güvenlik uzmanları, bu ifadelerin bir çeviri programı ürünü olmadığını, doğrudan saldırganlar tarafından, yani insan eliyle yazıldığını belirtti. Bu durum, saldırıyı gerçekleştiren ekibin ana dilinin Türkçe olabileceği ihtimalini kuvvetlendiriyor.
Cleafy verilerine göre, şimdiden Avrupa genelinde 3 binden fazla Android cihazın bu yazılımdan etkilendiği doğrulandı. Uzmanlar, 'Mobdro Pro' adının sadece bir paravan olduğu ve aynı zararlı yazılımın farklı isimler altında başka sahte uygulamalarla da yayılabileceği konusunda tüm Android kullanıcılarını dikkatli olmaları ve uygulamaları yalnızca resmi Google Play Store üzerinden indirmeleri yönünde uyarıyor.
Haberler.com
