Kaspersky Lab uzmanları, mobil bankacılık Truva Atı Svpeng’in modifiye edilmiş bir sürümünün Google’ın reklam ağı AdSense’in içerisinde gizlendiğini keşfetti. Banka Hesabı sahiplerini hedef alan Svpeng, Temmuz ayı ortasından bu yana yaklaşık 318.000 kullanıcının Android cihazlarında tespit edildi.
Chrome’un Android sürümündeki yazılım açığını kullandığı bilinen ve banka hesabı sahiplerini hedef alan ilk Svpeng saldırısına Temmuz ayı ortalarında Rus bir haber sitesinde rastlandı. Saldırı sırasında Truva Atı, kendisini sessizce site ziyaretçilerinin Android cihazlarına gizledi.
Android cihazlarda Chrome Kullananlar Hedefte
Kaspersky Lab tarafından yapılan araştırmada, saldırı sürecinin Google AdSense’e yerleştirilen ve zararlı yazılımın bulaştığı bir reklamla başladığı ortaya çıktı. Söz konusu reklam, yazılımın bulaşmadığı sitelerde normal bir şekilde görüntüleniyor, Truva Atı sadece Android cihazlarda Chrome kullanan ziyaretçilerin cihazlarına iniyor. Svpeng kendisini önemli bir tarayıcı güncellemesi veya popüler bir uygulama olarak gizliyor ve kullanıcıları kuruluma bu şekilde ikna ediyor. Zararlı yazılım çalışmaya başlar başlamaz, yüklenmiş uygulamalar listesinden silinerek kullanıcıdan aygıt yöneticisi hakları istiyor ve böylece tespit edilmesi zorlaşıyor.
Saldırganların, Google Chrome’un Android için geliştirilen sürümünde yer alan bazı kilit güvenlik özelliklerini atlatmanın bir yolunu buldukları anlaşılıyor. Normal şartlarda, bir APK dosyası mobil bir cihaza web linki ile indirildiğinde, tarayıcı potansiyel olarak tehlikeli bir objenin indirilmek üzere olduğu konusunda bir uyarı yapıyor. Bu örnekte ise dolandırıcıların, bir uyarı olmaksızın APK dosyalarının indirilmesini sağlayan bir güvenlik açığı buldukları görülüyor. Sorunu tespit eden Kaspersky Lab, konuyu Google’a rapor etmiş bulunuyor ve yazılım açığını kapatması beklenen yamanın, Android cihazlarda Chrome’un en yakın güncellemesiyle yayınlanması bekleniyor.
Kaspersky Lab kullanıcılara, Android cihazlardaki Chrome tarayıcısını en yeni sürümüne güncellemelerini, etkili bir güvenlik çözümü kullanmalarını ve zararlı yazılım üreticilerinin faydalandıkları araç ve teknikler konusunda bilgilenmelerini tavsiye ediyor.
Svpeng adlı mobil bankacılık Truva Atı, banka kartı bilgileri çalmak üzere tasarlanmış ve ayrıca arama geçmişi, SMS ve MMS mesajları, tarayıcı yer imleri ve adres defteri bilgilerini de topluyor. An olarak daha çok Rusça konuşulan ülkelere saldıran Svpeng’in küresel olarak yayılma potansiyeli bulunuyor. Yazılımın kendine has yayılma şekli sebebiyle, küresel çapta AdSense reklamı yayınlayan milyonlarca web sayfası da risk altında bulunuyor.
Kaspersky Lab, söz konusu zararlı yazılımı Trojan-Banker.AndroidOS.Svpeng.q adıyla tespit etmiş durumda.
