Siber güvenlik dünyası, Android kullanıcılarını hedef alan yeni bir bankacılık truva atıyla sarsıldı. Zimperium'un araştırma birimi zLabs tarafından keşfedilen 'Rokarolla' isimli kötü amaçlı yazılım, yalnızca banka hesaplarını boşaltmakla kalmıyor, aynı zamanda kurbanın telefonunu neredeyse tamamen ele geçirerek bankalarla iletişimini kesiyor. Bu sayede dolandırıcılık işlemleri fark edilmeden gerçekleşiyor. Rokarolla, 137 komuttan oluşan bir araç setiyle 217 farklı bankacılık ve kripto para uygulamasını hedef alıyor.
Rokarolla'nın yayılma yöntemi oldukça sinsi. Kullanıcılar, TikTok veya Google Chrome gibi popüler uygulamaları taklit eden sahte sitelere yönlendiriliyor. Bu sitelerde, Google Play Protect gibi görünen bir dropper (yükleyici) aracılığıyla ikinci aşama yük, Android'in savunma mekanizmalarını aşarak cihaza sızıyor. Sertifika yönetim firması Sectigo'nun kıdemli üyesi Jason Soroko, 'Rokarolla truva atı, veri hırsızlığından kurbanı izole etmeye doğru bir geçişi işaret ediyor' diyerek, telefonun sahibine karşı bir silaha dönüştüğünü vurguluyor.
Kontrolü elinde tutmak için Rokarolla, kendisini cihazın varsayılan arama ve mesajlaşma uygulaması olarak ayarlıyor. Gelen aramaları engelleyebiliyor, SMS okuyup gönderebiliyor. Bu sayede bankaların şüpheli işlemleri doğrulamak için gönderdiği tek kullanımlık kodları ve dolandırıcılık uyarılarını yutuyor. Ayrıca telefonun sesini ve titreşimini kapatarak uyarı tonlarını gizliyor, kendi simgesini uygulama çekmecesinden saklıyor ve ekranı sürekli açık tutarak gizli faaliyetlerinin kesintisiz devam etmesini sağlıyor.
Detaylar ve Etkileri
Hırsızlık, Android'in erişilebilirlik hizmetlerini (Accessibility Services) kötüye kullanarak gerçekleşiyor. Rokarolla, bu özelliği ekranı okumak ve arayüzü yönetmek için kullanıyor. Topladığı veriler arasında bankacılık ve kripto para giriş bilgileri (sahte ekranlar aracılığıyla), kilit ekranı PIN'leri ve desenleri, tuş vuruşları, SMS mesajları ve hatta WhatsApp kişi listeleri yer alıyor. Kullanıcı hedeflenen bir uygulamayı açtığında, gerçek giriş sayfasının üzerine sunucudan getirilen ikna edici bir sahte sayfa yerleştiriyor. Ayrıca panoyu anında değiştirerek, kullanıcı kopyaladığında saldırganın kripto para cüzdan adresini yapıştırıyor.
Gözetim amacıyla Rokarolla, canlı ekran yayını yapmak yerine sessizce zaman damgalı ekran görüntüleri alıp teker teker dışarı sızdırıyor. Ayrıca Google Play Protect'i devre dışı bırakmaya çalışarak kendini gizliyor. Bu kampanya, mobil tehditlerdeki büyük artışla aynı döneme denk geliyor. API güvenlik firması Cequence Security'nin CISO'su Randolph Barr, 'Android, bankacılık truva atları ve veri sızdıran SDK'larla karşı karşıya kalmaya devam ediyor' diyerek, yalnızca 2024 yılında milyonlarca mobil kötü amaçlı yazılım olayının engellendiğini belirtiyor.
Rokarolla'ya karşı korunmak için kullanıcıların resmi uygulama mağazaları dışındaki kaynaklardan uygulama yüklememesi, Google Play Protect'in etkin olduğundan emin olması ve uygulamalara verilen erişilebilirlik izinlerini düzenli olarak kontrol etmesi gerekiyor. Ayrıca bankacılık işlemleri için resmi uygulamaları kullanmak ve gelen SMS'leri dikkatlice incelemek önem taşıyor. Şüpheli durumlarda hemen bankayla iletişime geçmek ve cihazı fabrika ayarlarına sıfırlamak en etkili çözüm olabilir.
Kaynak: infosecurity-magazine.com