Android kullanıcıları yıllardır Hydra, Anatsa ve Octo gibi finansal zararlı yazılımlarla (malware) mücadele ediyor. Ancak siber güvenlik araştırmacıları, sahneye çıkan yeni bir tehdidin öncekilerden çok daha kurnaz ve tehlikeli olduğu konusunda uyarıyor. “BankBot YNRK” adı verilen bu yeni zararlı yazılım, telefonunuzun sesini kısarak sizi sağır ediyor, ekranınızı izliyor ve kripto cüzdanlarınızı boşaltıyor.
Cyfirma araştırmacıları tarafından analiz edilen bu tehdit, tipik mobil virüslerin ötesine geçerek, cihaz üzerinde neredeyse tam hakimiyet kuruyor.
Nasıl bulaşıyor ve kendini nasıl gizliyor?
BankBot YNRK, genellikle resmi dijital kimlik araçlarını taklit eden sahte uygulamalar aracılığıyla cihazlara sızıyor. Ancak asıl illüzyon kurulumdan sonra başlıyor. Yazılım, simgesini ve adını değiştirerek kendini güvenilir bir uygulama olan “Google News” (Google Haberler) gibi gösteriyor.
Kullanıcı uygulamayı açtığında, zararlı yazılım bir WebView (uygulama içi tarayıcı) penceresinde gerçek news.google.com sitesini yüklüyor. Siz haberleri okuduğunuzu sanırken, o arka planda cihazınızı profilliyor, emülatör (sanallaştırma) kontrolü yaparak güvenlik analizlerini atlatıyor ve saldırıya hazırlanıyor.
Sessiz ve ölümcül: Sizi nasıl soyuyor?
BankBot YNRK’nin en ürkütücü özelliği, saldırı anında kullanıcıyı devre dışı bırakma yöntemidir:
- Sesi ve Bildirimleri Kısma: Yazılımın ilk eylemlerinden biri, telefonun sesini ve bildirim uyarılarını sessize almaktır. Böylece bankanızdan gelen SMS uyarılarını, onay kodlarını veya şüpheli işlem alarmlarını duymanız engellenir.
- “Erişilebilirlik” Tuzağı: Zararlı yazılım, Android’in “Erişilebilirlik Hizmetleri”ne (Accessibility Services) erişim izni talep eder. Bu izin verildiği anda, yazılım telefonun kontrolünü ele geçirir. Sizin yerinize düğmelere basabilir, ekranı kaydırabilir, şifreleri okuyabilir ve hatta biyometrik güvenlik uyarılarını reddedebilir.
Hedefte ne var?
Yazılım, cihaz bilgilerini saldırganlara gönderdikten sonra bir hedef listesi alıyor. Bu liste şunları içeriyor:
- Bankacılık Uygulamaları: Özellikle Vietnam, Malezya, Endonezya ve Hindistan’daki büyük bankalar hedefte olsa da, altyapı küresel çalışıyor.
- Kripto Cüzdanları: MetaMask ve Exodus gibi popüler cüzdanlar ana hedefler arasında. Yazılım, bu uygulamaları açıp bakiyeleri görebiliyor, transferleri onaylayabiliyor ve tohum ifadelerini (seed phrases) çalabiliyor.
- Pano (Clipboard) Verileri: Kopyaladığınız hesap numaraları, OTP kodları veya kripto anahtarları anında saldırganlara iletiliyor.
Kaldırması neden zor?
BankBot YNRK, kendini “Cihaz Yöneticisi” olarak atayarak kaldırılmasını son derece zorlaştırıyor. Telefonu yeniden başlatsanız bile, internet bağlantısı olduğu sürece kendini sürekli yeniden başlatan bir mekanizmaya sahip.
Nasıl korunursunuz?
Bu gelişmiş tehditten korunmak için temel dijital hijyen kuralları hayati önem taşıyor:
- Uygulamaları sadece Google Play Store gibi güvenilir kaynaklardan yükleyin; APK dosyalarından kaçının.
- Bir uygulama, işleviyle alakasız bir şekilde “Erişilebilirlik” izni istiyorsa (örneğin bir haber uygulaması), kesinlikle reddedin.
- Güçlü bir antivirüs yazılımı kullanın ve cihazınızı güncel tutun.
- Telefonunuzda tanımadığınız veya simgesi değişmiş uygulamalar olup olmadığını düzenli olarak kontrol edin.
