Türkiye’deki Android kullanıcılarını hedef alan yeni bir siber tehdit ortaya çıktı. GodFather adlı zararlı yazılımın güncellenmiş sürümü, mobil bankacılık uygulamaları üzerinden kullanıcıların hesap bilgilerini ele geçiriyor ve izinsiz para transferleri gerçekleştiriyor.
Sahte arayüzle gerçek hesaplara erişim
Zimperium’un yayımladığı rapora göre, GodFather virüsü telefonda yüklü olan bankacılık uygulamalarını tespit ediyor ve bu uygulamaların birebir kopyası olan sahte arayüzler oluşturuyor. Kullanıcılar, bankalarının resmi uygulamasını açtıklarını sanarken, aslında kötü amaçlı yazılımın yönlendirdiği ekranla karşılaşıyor. Bu ekran üzerinden yapılan tüm girişler gerçek zamanlı olarak saldırganlara iletiliyor.
Hedef alınan bankalar
Virüsün hedef aldığı bankacılık uygulamaları arasında şunlar yer alıyor:
- Ziraat Bankası
- Akbank
- Garanti BBVA
- İşCep
- Halkbank
- Fibabanka
- ING Mobil
- Kuveyt Türk
- Şeker Mobil
- Türkiye Finans
- Birbank
Saldırı yöntemi: Sanal ortamda izleme ve manipülasyon
GodFather, VirtualApp ve XposedBridge gibi açık kaynak araçları kullanarak sahte bir sandbox ortamı yaratıyor. Bu sayede kullanıcı adı, şifre, PIN gibi bilgilerle birlikte dokunma hareketleri ve uygulama tepkileri de izlenebiliyor. Kullanıcıya ‘Uygulamanız güncel değil’ gibi uyarılar gösterilirken, arka planda para transferi işlemleri başlatılıyor.
Yayılma yöntemi: Sahte APK’lar ve tam erişim tuzağı
Virüs, genellikle sahte APK dosyaları aracılığıyla yayılıyor. Örneğin bir MP3 indirme uygulaması gibi görünen yazılımlar, kullanıcıdan ‘tam erişim izni’ talep ediyor. Bu izni veren kullanıcıların cihazlarına GodFather bulaşıyor ve bankacılık uygulamaları üzerinde sahte arayüzler oluşturuluyor.
Kendinizi nasıl koruyabilirsiniz?
- Uygulamaları yalnızca Google Play Store gibi güvenilir kaynaklardan indirin.
- Google Play Protect özelliğini aktif hâle getirin.
- Uygulamaların istediği izinleri dikkatle inceleyin; özellikle ‘tam erişim’ isteyen uygulamalara karşı temkinli olun.
