Güvenlik uzmanları, siber suçluların sahte bir Starlink uygulaması aracılığıyla BeatBanker adlı zararlı bir Android Truva atını yaydığını bildirdi. Bu zararlı yazılım, Google Play Store'u taklit eden oltalama sayfaları üzerinden dağıtılıyor ve kullanıcıları kandırarak cihazlarına sızıyor.Zararlı yazılım bir cihaza yüklendikten sonra, kullanıcıya yine Google Play'i taklit eden bir arayüz gösteriyor. Bu sahte arayüzdeki UPDATE düğmesine tıklandığında, kullanıcıdan uygulama kurulum izinleri isteniyor. Saldırganlar bu yöntemle, kullanıcıları ek gizli zararlı bileşenlerin indirilmesine izin vermeye ikna ediyor.
Kullanıcı izinleri aldıktan sonra, Truva atı hemen faaliyete geçiyor. İlk olarak, cihazda Monero kripto para madenciliği yapan bir yazılımı devreye sokuyor. Aynı zamanda, cihaza BTMOB adlı gelişmiş bir uzak erişim aracı (RAT) da yükleniyor.
BeatBanker, enfekte olmuş akıllı telefonun pil seviyesini, cihaz sıcaklığını ve kullanıcı etkinliğini sürekli olarak izliyor. Topladığı bu verilere göre, arka planda çalışan gizli kripto madencisini otomatik olarak başlatıyor veya durduruyor. Bu akıllı mekanizma, zararlı yazılımın tespit edilmesini zorlaştırıyor.
Malware-as-a-Service (MaaS) modeliyle satılan BTMOB RAT aracı, saldırganlara ele geçirilen cihaz üzerinde tam uzaktan kontrol sağlıyor. Bu araç; izinleri otomatik olarak verebilme, sistem bildirimlerini gizleyebilme ve PIN, desen ve parola gibi ekran kilidi bilgilerini ele geçirmeye yönelik mekanizmalar içeriyor.
Zararlı yazılım ayrıca, saldırganların cihazın ön ve arka kameralarına erişmesine, GPS konumunu izlemesine ve hassas verileri sürekli olarak toplamasına olanak tanıyor. Bu, kullanıcı mahremiyeti ve güvenliği için ciddi bir tehdit oluşturuyor.
BeatBanker, sistemden kaldırılmasını zorlaştırmak için çeşitli kalıcılık mekanizmaları da kullanıyor. Zararlı yazılım, ön planda sabit bir bildirim göstererek ve arka planda sessiz medya oynatma içeren bir foreground servis çalıştırarak, işletim sisteminin zararlı süreci sonlandırmasını engellemeyi amaçlıyor.
Bu sıra dışı kalıcılık yöntemlerinden biri de, neredeyse duyulamayacak kadar düşük seviyede sürekli döngüye alınmış bir ses dosyası kullanması. Bu teknik, zararlı yazılımın sistemde tespit edilmeden varlığını sürdürmesine yardımcı oluyor.
Sizce, bu kadar gelişmiş taktikler kullanan siber tehditlere karşı ortalama bir kullanıcı nasıl daha iyi korunabilir?