ThreatFabric siber güvenlik firması, erken geliştirme aşamasında olmasına rağmen olgun bir tehdit gibi davranan yeni Android bankacılık truva atı Sturnus’un cihaz ekranını ele geçirebildiği, bankacılık kimlik bilgilerini çalabildiği ve şifreli sohbet mesajlarını yakalayabildiği uyarısını yaptı.
Sturnus truva atının, bir cihaza bulaştıktan sonra ekranı tamamen kontrol altına aldığı, bankacılık uygulamalarına ait kimlik bilgilerini ele geçirdiği ve güvenilir uygulamalardaki şifreli sohbetleri yakaladığı kaydedildi. Truva atı, uçtan uca şifrelemenin kırılmadığını, ancak uygulamaların mesajları cihazda yerel olarak şifresini çözdüğü anda bu verileri yakaladığını belirtti. Bu yöntemle, ağ üzerinden şifreli kalan sohbetlerin cihaz ekranında görüntülendiği sırada tamamının ele geçirildiği ifade edildi.
Truva atının, gerçek bankacılık uygulamalarını taklit eden HTML kaplamalar kullandığı, kullanıcıların kimlik bilgilerini girdiği anda bu verilerin WebView aracılığıyla saldırgana anında iletildiği aktarıldı. Android Erişilebilirlik Servisi üzerinden agresif bir tuş takibi sistemi çalıştırıldığı, yazılan metinlerin yakalandığı, açık uygulamanın takip edildiği ve ekran üzerindeki her kullanıcı arayüzü unsurunun gerçek zamanlı olarak haritalandığı vurgulandı. Ekran görüntülerini engelleyen uygulamalara rağmen, kullanıcı arayüzü ağacının sürekli izlendiği ve kullanıcının yaptığı işlemlerin yeniden yapılandırılabildiği belirtildi.
Sturnus’un WhatsApp, Telegram, Signal gibi mesajlaşma uygulamalarını izlediği, bu uygulamaların mesajları yerel olarak şifre çözdüğü anda metinleri ekrandan yakaladığı kaydedildi. Bu sayede, ağda şifreli kalan sohbetlerin cihazda görüntülendiği anda tamamının saldırgana ulaştığı ifade edildi. Truva atının tam uzaktan kumanda özelliği içerdiği, canlı ekran akışı sağladığı ve daha verimli bir modda yalnızca arayüz verilerini gönderdiği aktarıldı. Bu özelliklerle hassas dokunuşlar, metin enjeksiyonu, kaydırma ve izin onaylarının kullanıcının fark etmeden gerçekleştirilebildiği belirtildi.
Truva atının kendini korumak için Cihaz Yöneticisi yetkilerini ele geçirdiği, kaldırma girişimlerini engellediği kaydedildi. Kullanıcının ayarlar sayfasını açarak bu izinleri devre dışı bırakmaya çalıştığı tespit edildiğinde ekranın anında başka yöne yönlendirildiği ifade edildi. Pil durumu, SIM kart değişiklikleri, geliştirici modu, ağ koşulları ve adli soruşturma belirtilerinin sürekli izlendiği, bu verilere göre davranışın belirlendiği aktarıldı. Tüm verilerin RSA ve AES şifrelemesiyle korunan WebSocket ve HTTP kanalları üzerinden komuta-kontrol sunucusuna iletildiği vurgulandı.
Mali hırsızlık amacıyla truva atının kaplamalar, tuş takibi, kullanıcı arayüzü ağacı izleme ve doğrudan metin enjeksiyonu yöntemleriyle kimlik bilgilerini topladığı kaydedildi. Gerektiğinde tam ekran kaplamasıyla ekranı karartarak arka planda sahte işlemlerin gerçekleştirildiği, kullanıcının hiçbir şey fark etmediği belirtildi. Bu işlemler tamamlandıktan sonra kullanıcının durumu ancak çok geç fark ettiği ifade edildi.
Sturnus truva atının erken aşamada olmasına rağmen saldırganlara yüksek düzeyde kontrol sağladığı, şifreli mesajlaşmayı aştığı, bankacılık kimliklerini birden fazla yöntemle çaldığı ve yönetici yetkileri ile sürekli çevresel kontrollerle cihazı sıkı tuttuğu kaydedildi. ThreatFabric araştırmacıları, mevcut kampanyaların sınırlı olduğunu, ancak sofistikasyon düzeyinin daha geniş operasyonlar için geliştirildiğini belirtti. Yaygın dağılıma ulaşırsa en zararlı Android bankacılık truva atlarından biri olabileceği ileri sürüldü.
Android cihazlardaki kötü amaçlı yazılımlardan korunmak için yedi önlem önerildi. Bu önlemlerin detayları şu şekilde aktarıldı:
- Güvenilir ve doğrulanmış kaynaklardan uygulama yükleyin: İletilen bağlantılar, şüpheli web siteleri, Telegram grupları veya üçüncü taraf uygulama mağazalarından APK indirmekten kaçınılması gerektiği belirtildi. Bankacılık truva atlarının sideload edilmiş kurulum dosyalarıyla yayıldığı, güncelleme, kupon veya yeni özellik kılığında gizlendiği kaydedildi. Play Store’da olmayan bir uygulama için geliştiricinin resmi sitesinin doğrulanması, sağlanan hash’lerin kontrol edilmesi ve son incelemelerin okunması önerildi.
- İzin isteklerini dikkatle inceleyin: Tehlikeli truva atlarının Erişilebilirlik izinlerine dayandığı, bu izinlerin ekrana ve etkileşimlere tam görünürlük sağladığı ifade edildi. Cihaz Yöneticisi yetkilerinin kaldırmayı engellediği vurgulandı. Basit bir yardımcı uygulamanın bu izinleri istemesi durumunda hemen durdurulması gerektiği aktarıldı. Bu izinler yalnızca şifre yöneticileri veya güvenilir erişilebilirlik araçları gibi gerçekten ihtiyaç duyan uygulamalara verilmeliydi.
- Cihazınızı güncel tutun: Sistem güncellemelerinin en kısa sürede yüklenmesi, birçok Android bankacılık truva atının eski cihazlardaki güvenlik yamalarındaki eksiklikleri hedef aldığı kaydedildi. Artık güncelleme almayan cihazların finansal uygulamalar kullanırken yüksek risk taşıdığı belirtildi. Güvenlik yamalarını nasıl ele aldığı bilinen özel ROM’ların sideload edilmemesi önerildi.
- Güçlü antivirüs yazılımı kullanın: Android cihazların Google Play Protect ile geldiği, bilinen truva atı ailelerini yakaladığı ve şüpheli davranışlara karşı uyardığı ifade edildi. Daha fazla güvenlik için üçüncü taraf antivirüs uygulamalarının seçilmesi gerektiği aktarıldı. Bu araçların ekran günlüğü tutma veya cihaz ele geçirme girişimlerini bildirdiği vurgulandı. Kötü amaçlı bağlantılara karşı en iyi korumanın tüm cihazlara güçlü antivirüs yüklemek olduğu belirtildi. Bu koruma fidye yazılımlar ve kimlik avı e-postalarını da engellerdi.
- Kişisel veri kaldırma servisi kullanın: Saldırıların veri brokerları, sızdırılmış veritabanları ve kazınmış profillerle hedef listeleri oluşturduğu kaydedildi. Telefon numarası, e-posta, adres veya sosyal medya hesaplarının broker sitelerinde dolaşması, truva atı bağlantılarının kolaylaştırdığı ifade edildi. Kişisel veri kaldırma servislerinin bu ayak izini temizlediği, bilgileri broker listelerinden sildiği aktarıldı. Tam kaldırma garantisi olmasa da, gizliliğin pahalı olduğu ve bu servislerin yüzlerce siteden verileri izleyip sildiği belirtildi. İnternetten veri silmenin en etkili yolu olduğu, dolaylı web verileriyle çapraz referans riskini azalttığı kaydedildi. Ücretsiz tarama ile kişisel bilgilerin web’de olup olmadığının kontrol edilmesi önerildi.
- Olağandışı giriş ekranlarını ve açılır pencereleri kırmızı bayrak olarak görün: Truva atı kaplamalarının banka uygulaması veya popüler servis açıldığında göründüğü, ekran düzeninin farklı veya alışılmadık kimlik isteği varsa uygulamanın tamamen kapatılması gerektiği ifade edildi. Uygulama çekmecesinden yeniden açılıp pencerenin dönüp dönmediği kontrol edilmeliydi. Dönmezse kaplama yakalanmış sayılırdı. Ani veya yerinden ekranlara bankacılık detayları girilmemesi aktarıldı.
- Aldığınız bağlantı ve eklerde dikkatli olun: Saldırganların WhatsApp bağlantıları, SMS ve e-posta ekleriyle truva atı dağıttığı, fatura, iade veya teslimat güncellemesi kılığında gizlendiği kaydedildi. Beklenmedik bağlantılar için tarayıcıdan manuel arama yapılması gerektiği belirtildi. Tanıdık hesaplardan gelse bile mesaj kaynaklı kurulum yapılmaması, ele geçirilmiş hesapların yaygın olduğu vurgulandı.
ThreatFabric araştırmacıları, Sturnus’un genç bir truva atı ailesi olmasına rağmen saldırganlara sağladığı kontrol düzeyinin dikkat çekici olduğunu kaydettiler. Şifreli mesajlaşmayı atlattığı, bankacılık kimliklerini yedek yöntemlerle çaldığı, yönetici yetkileri ve çevresel kontrollerle cihazı elinde tuttuğu ifade edildi. Mevcut kampanyalar sınırlı kalsa da, sofistikasyonun büyük operasyonlara hazırlık gösterdiği belirtildi. Geniş dağılımda en zararlılardan biri haline gelebileceği aktarıldı.
Siber güvenlik uzmanları, Android kullanıcılarının bu tür tehditlere karşı proaktif önlemler almasını önerirken, ThreatFabric’in raporunun truva atının teknik detaylarını ayrıntılı şekilde ele aldığını vurguladı. Truva atının Play Store uygulamalarından kimlik çaldığına dair bulgular, cihaz sahiplerini daha dikkatli olmaya yöneltti. Özellikle Türkiye’de artan mobil bankacılık kullanımıyla bu tehditlerin önemi arttı.
Truva atının geliştirilme sürecinin erken evresinde yakalanması, siber güvenlik camiasında takdir topladı. ThreatFabric’in analizi, Sturnus’un erişilebilirlik servislerini kötüye kullanma yöntemlerini detaylandırdı. Bu servislerin normalde engelli kullanıcılar için tasarlandığı, ancak truva atları tarafından ekran okuma ve etkileşim ele geçirme için istismar edildiği kaydedildi. Kullanıcıların izin verirken bu riski göz önünde bulundurması gerektiği belirtildi.
Komuta-kontrol iletişiminin RSA ve AES şifrelemesiyle korunması, truva atının tespitini zorlaştırdığı ifade edildi. WebSocket kanallarının gerçek zamanlı veri akışı sağladığı, HTTP’nin yedek olarak kullanıldığı aktarıldı. Saldırganların bu altyapıyı sürekli güncellediği gözlendi. Cihaz ortamı izlemesinin, truva atının hayatta kalma stratejisini güçlendirdiği vurgulandı.
Mesajlaşma uygulamalarındaki şifre çözme anını hedefleme yöntemi, end-to-end şifrelemenin sınırlarını gösterdi. Kullanıcıların güvenli sandığı sohbetlerin cihaz düzeyinde savunmasız olduğu kaydedildi. Bu bulgu, uygulama geliştiricilerine yerel şifre çözme sonrası koruma katmanları ekleme çağrısı yaptı. Sturnus’un uzaktan kumanda modları, saldırganlara sanal bir cihaz erişimi sağladı.
Finansal işlemler sırasında ekran karartma özelliği, dolandırıcılığın gizliliğini artırdı. Kullanıcıların fark etmeden hesaplarının boşaltılabildiği ifade edildi. Bu yöntemlerin birleşimi, truva atını rakiplerinden ayırdı. ThreatFabric, örnek vakaları incelediğini ve truva atının sınırlı kampanyalarda kullanıldığını belirtti.
Korunma önlemlerinin genişletilmesi, kullanıcı eğitimiyle desteklendi. Özellikle veri broker’larından temizlik, hedefli saldırıları azalttı. Türkiye’deki kullanıcılar için yerel bankacılık uygulamalarının güncelliği kritik hale geldi. Siber tehditlerin evrimiyle mücadelede sürekli güncelleme şart olduğu kaydedildi.
