Siber güvenlik araştırmacıları, Android ekosistemini maksat alan ve hayli gelişmiş yeteneklere sahip yeni bir ziyanlı yazılım keşfetti. “Sturnus” ismi verilen bu bankacılık Truva Atı, bugüne kadar inançlı kabul edilen WhatsApp, Signal ve Telegram üzere uygulamaların şifreleme kalkanını, direkt aygıt ekranını okuyarak aşmayı başarıyor.

Siber hatalıların taşınabilir aygıtlara yönelik atak teknikleri her geçen gün daha karmaşık ve tespit edilmesi güç bir hale geliyor. Siber güvenlik firması ThreatFabric tarafından yayınlanan yeni bir rapora nazaran, Android kullanıcılarını amaç alan Sturnus isimli yeni bir bankacılık Truva Atı (Banking Trojan) keşfedildi. Şimdi geliştirilme kademesinde olduğu düşünülen lakin halihazırda son derece tehlikeli yetenekler sergileyen bu ziyanlı yazılım, kullanıcıların finansal bilgilerini ve mahremiyetini önemli formda tehdit ediyor.

Sturnus’u öbür ziyanlı yazılımlardan ayıran en korkutucu özellik ise, ekseriyetle “aşılamaz” olarak görülen uçtan uca şifreli iletileşme uygulamalarını maksat alabilmesi. Klasik virüslerin bilakis, Sturnus şifrelemeyi kırmakla uğraşmıyor; bunun yerine çok daha kurnazca bir sistem izliyor.

Şifreli Sohbetleriniz Artık Zımnî Kalmayabilir

Sturnus virüsünün çalışma prensibi, Android işletim sisteminin engelli kullanıcılar için geliştirdiği Erişilebilirlik Servislerini (Accessibility Services) berbata kullanmasına dayanıyor. Kullanıcı, ziyanlı bir uygulamayı yükleyip bu müsaadesi verdiğinde, virüs aygıt üzerinde tam yetki kazanıyor.

Normal kaidelerde WhatsApp, Telegram ve Signal üzere uygulamalar, bildirilerinizi ağ üzerinde şifreleyerek iletir. Lakin Sturnus, ağ trafiğini dinlemek yerine, bildirinin şifresi çözülüp ekrana yansıdığı anda devreye giriyor. Ziyanlı yazılım, Keylogging (tuş kaydetme) ve ekran içeriğini okuma yetenekleri sayesinde, siz iletisi okurken yahut yazarken o da art planda her şeyi kaydediyor. Bu usul, “uçtan uca şifreleme” teknolojisini pratikte etkisiz hale getiriyor zira saldırgan, bilgiyi şifrelenmeden evvel yahut şifresi çözüldükten sonra ele geçirmiş oluyor.

Sahte Bankacılık Ekranları ve Aygıtı Ele Geçirme

Sturnus’un tek becerisi bildiri okumak değil; asıl maksadı finansal dolandırıcılık. Ziyanlı yazılım, kurbanın telefonunda yüklü olan bankacılık uygulamalarını tespit edebiliyor. Kullanıcı banka uygulamasını açtığında, Sturnus gerçek uygulamanın üzerine sahte bir giriş penceresi (overlay attack) bindiriyor. Kullanıcı, bankasının uygulamasına giriş yaptığını sanarken aslında kullanıcı ismini ve şifresini direkt siber hatalılara teslim etmiş oluyor.

Araştırmacılar, Sturnus’un yeteneklerinin bunlarla da hudutlu olmadığını belirtiyor. Yazılım, siber saldırganlara enfekte olmuş aygıta uzaktan bağlanma ve yönetme imkanı da tanıyor (VNC – Virtual Network Computing). Bu sayede saldırganlar, kurbanın haberi olmadan aygıtın ekranını karartıp arka planda para transferi gerçekleştirebiliyor, SMS onay kodlarını okuyup silebiliyor ve hatta güvenlik yazılımlarının çalışmasını engelleyebiliyor.

Bu Yeni Tehditten Nasıl Korunabilirsiniz?

Sturnus ve gibisi gelişmiş Android zararlılarından korunmak için dijital hijyen kurallarına sıkı sıkıya uymak gerekiyor. Uzmanların bu husustaki teklifleri ise şöyle:

• Resmi Mağazalar Dışına Çıkmayın: Uygulamaları sadece Google Play Store üzere resmi kaynaklardan indirin. Sturnus üzere virüsler çoklukla geçersiz APK dosyaları veya üçüncü parti mağazalar aracılığıyla yayılıyor.
• İzinlere Dikkat Edin: Bir hesap makinesi yahut fener uygulaması sizden “Erişilebilirlik” (Accessibility) müsaadesi istiyorsa, bu mutlaka kuşkulu bir durumdur. Bu çeşit hassas müsaadeleri verirken iki kere düşünün.
• Güvenlik Yazılımı Kullanın: Android aygıtınızda aktüel ve muteber bir antivirüs/anti-malware uygulaması bulundurmak, bu cins tehditlerin yüklenme kademesinde tespit edilmesini sağlayabilir.
• Google Play Protect: Aygıtınızda “Google Play Protect” özelliğinin etkin olduğundan emin olun. Bu özellik, ziyanlı uygulamaları tarayarak sizi uyarabilir.