Brezilya'nın avcı bankacılık yazılımı dünyaya yayılıyor

Brezilya'nın avcı bankacılık yazılımı dünyaya yayılıyor
10 Kasım 2020 - 11:38

Kaspersky Güvenlik Uzmanı Fabio Assolini: "Ghimob, uluslararası genişlemeye hazır ilk Brezilya mobil bankacılık Truva atı. Bu yeni kampanyanın, tanınmış bir Brezilya bankacılık Truva Atı'ndan sorumlu Guildma tehdit aktörü ile ilgili olabileceğine inanıyoruz"

İSTANBUL (AA) - Brezilya'nın avcı bankacılık yazılımının dünyaya yayıldığı ve akıllı telefon kullanıcılarını avladığı bildirildi.

Kaspersky açıklamasına göre, Kaspersky araştırmacıları, Guildma bankacılık kötü amaçlı yazılımının Windows üzerindeki bir kampanyasını izlerken, yalnızca Windows için kötü amaçlı bir .ZIP dosyasını yüklemekle kalmayıp aynı zamanda yeni bir bankacılık Truva Atı olan Ghimob'u yüklemek için indirici gibi davranan kötü amaçlı bir dosyayı dağıtan URL'lerle karşılaştı.

Erişilebilirlik moduna sızdıktan sonra Ghimob kalıcılık kazanabiliyor, manuel kaldırmayı devre dışı bırakabiliyor, verileri yakalayabiliyor, ekran içeriğini değiştirebiliyor ve saldırganlara uzaktan kontrol yetkisi sağlayabiliyor.

Uzmanlara göre, bu tipik mobil Uzaktan Erişim Truva Atı'nın (RAT) geliştiricileri, ağırlıklı olarak Brezilya'daki kullanıcılara odaklanıyor ancak dünya çapında genişleme planları bulunuyor. Kampanya halen aktif durumda. 

Hem Latin Amerika'da hem de dünyanın diğer bölgelerinde geniş ölçekli kötü niyetli faaliyetleriyle tanınan kötü şöhretli Tetrade serisinin bir parçası olan Guildma, yeni teknikler üzerinde aktif olarak çalışıyor, kötü amaçlı yazılımlar geliştiriyor ve yeni kurbanları hedef alıyor. 

Tehdidin yeni eseri olan Ghimob bankacılık Truva Atı'nın arkasındakiler, kurbanlarına bir tür borcu olduğunu öne süren bir e-posta göndererek kötü amaçlı dosyayı yüklemeye ikna ediyor.

e-posta ayrıca, kurbanın daha fazla bilgi edinebilmesi için tıklayabileceği bir bağlantı içeriyor. RAT yüklendikten sonra kötü amaçlı yazılım, sunucusuna başarılı bulaşma hakkında bir mesaj gönderiyor. Mesaj telefonun modelini, kilit ekranı güvenliğine sahip olup olmadığını ve kötü amaçlı yazılımın hedefleyebileceği tüm yüklü uygulamaların bir listesini raporluyor. Ghimob çoğunlukla bankalardan, fintech şirketlerinden, kripto para birimlerinden ve borsalardan oluşan 153 mobil uygulamayı gözetleyebiliyor.

Finansal kuruluşlara uyarı

Açıklamada görüşlerine yer verilen Kaspersky Güvenlik Uzmanı Fabio Assolini, "Latin Amerikalı siber suçluların dünya çapında erişime sahip bir mobil bankacılık Truva Atı'na ulaşma arzusu uzun bir geçmişe sahip. Bunun bir yansıması olarak Basbanke'yi ve ardından BRata'yı daha önce görmüştük. Ancak her ikisi de ağırlıklı olarak Brezilya pazarına odaklanmıştı. Ghimob ise uluslararası genişlemeye hazır ilk Brezilya mobil bankacılık Truva Atı. Bu yeni kampanyanın, tanınmış bir Brezilya bankacılık Truva Atı'ndan sorumlu Guildma tehdit aktörü ile ilgili olabileceğine inanıyoruz." ifadelerini kullandı.

Assolini, finansal kuruluşların kimlik doğrulama süreçlerini iyileştirirken, sahtekarlıkla mücadele teknolojisini ve tehdit istihbaratı verilerini güçlendirmelerini önerdi.