ICT Media
Siber güvenlik firması Cleafy’den yapılan acil bir uyarıya göre, popüler bir VPN ve korsan yayın uygulaması kılığına giren tehlikeli bir kötü amaçlı yazılım, Avrupa genelinde 3 binden fazla Android cihazı etkiledi. Kullanıcıların banka hesaplarını hedef alan bu yazılımın arkasında Türkçe konuşan bir grubun olduğu tespit edildi.
Euronews’te yayınlanan habere göre; "Mobdro Pro IP TV + VPN" adıyla yayılan sahte uygulama, ücretsiz film, dizi ve spor yayınları ile VPN hizmeti vaadiyle cihazlara sızıyor. Ancak içinde “Klopatra” isimli, cihazın tam uzaktan kontrolünü ele geçirebilen gelişmiş bir kötü amaçlı yazılım barındırıyor. Yazılım, engelli kullanıcılar için tasarlanmış “Erişilebilirlik Servisleri” izinlerini kötüye kullanarak ekran içeriğini okuyabiliyor ve kullanıcı adına bankacılık işlemleri dahil her türlü işlemi gerçekleştirebiliyor.
Cleafy araştırmacıları, bu yöntemin modern bankacılık dolandırıcılığının temel taşlarından biri olduğunu belirtiyor. Yazılımın kodunda ve kontrol sunucusu (C2) altyapısında bulunan Türkçe ipuçları, saldırıyı yönetenlerin Türkiye’den faaliyet gösteren bir grup olduğunu gösteriyor.
Kodda ve Kontrol Altyapısında Türkçe İfadeler
Zararlı yazılımın kodunda "ArkaUcKomutIsleyicisi" gibi Türkçe fonksiyon ve değişken adları bulundu. Ayrıca saldırganların kontrol panelinden elde edilen verilerde de "Favori\_durumu", "Bot\_notu" gibi Türkçe alan isimleri yer alıyor. Hatta saldırganların kurbanlarla ilgili notlarında bile "7k atılan p*ç şifre z” gibi Türkçe ifadeler görülüyor. Bu tür kişisel notlar, eylemlerin insan eliyle ve Türkçeyi aktif olarak kullanan kişilerce yönetildiğini kanıtlıyor.
Şirketin tahminine göre yaklaşık 1000 kişi bu saldırının kurbanı oldu. Siber güvenlik uzmanları, diğer suç gruplarının da bu başarılı yöntemi kopyalayabileceği konusunda uyararak, kullanıcıların hemen bu tür uygulamaları silmesi ve banka hareketlerini kontrol etmesi gerektiğini vurguluyor.
