Mobil güvenlik araştırmacıları, özellikle Android kullanıcılarını hedef alan “Sturnus” isimli yeni bir bankacılık Truva Atı’nı mercek altına aldı. Araştırmacıların aktardığına göre zararlı yazılım henüz test aşamasında gibi dursa da, sahip olduğu özellikler pek iç açıcı değil. Çünkü yazılım, hem cihaz kontrolünü ele geçirebiliyor hem de uçtan uca şifrelemeyle korunmasına rağmen mesajları okuyabiliyor.
ThreatFabric’in paylaştığı analiz, işin ne kadar ciddileştiğini net biçimde gösteriyor. Sturnus, WhatsApp, Telegram ve Signal gibi güvenliğiyle öne çıkan uygulamalardan geçen mesajları doğrudan ekran görüntüsü üzerinden topluyor. Yani mesaj daha telefonda çözüldüğü anda devreye giriyor; kullanıcı fark bile etmeden konuşmalar saldırganların sunucularına akıyor.
Mesele sadece sohbet uygulamalarıyla da sınırlı değil. Zararlı yazılım, özellikle Avrupa’nın güney ve orta bölgelerinde kullanılan bankacılık uygulamalarına özel tasarlanmış “bindirme” ekranlarıyla kullanıcıların giriş bilgilerini çalabiliyor. Kısacası oldukça hedefli bir operasyon yürütüyor.
Sturnus’un teknik yapısı da oldukça karmaşık. İlk çalıştırıldığında, cihazı uzaktan yönetebilmek için WebSocket ve HTTP kanalları üzerinden kendini kaydediyor. Bu bağlantıyla saldırganlara şifreli komutlar iletiliyor; istenirse VNC oturumu açılarak telefona tam erişim sağlanıyor. Hatta ekran yansıtma özellikleriyle cihazın görüntüsü anlık olarak aktarılabiliyor.
Asıl can sıkıcı noktalardan biri ise yazılımın Android’in erişilebilirlik servisleri üzerinden kendini koruma altına alması. Kullanıcı ayarlara girip yönetici izinlerini kapatmak istediğinde, Sturnus bunu hemen fark edip ekranı başka bir sayfaya yönlendiriyor. Böylece hem klasik yöntemlerle hem de ADB üzerinden silinmesi neredeyse imkânsız hâle geliyor.
Araştırmacılar, Sturnus’un şimdilik geniş çaplı bir yayılıma ulaşmadığını ancak son derece hedefli hareket ettiğini söylüyor. Bu da yazılımın, daha büyük saldırılar için hazırlık yaptığı ihtimalini güçlendiriyor. Google cephesinden ise henüz resmi bir açıklama gelmiş değil.
Google Play
App Store