Güvenlik 09 OCAK 2014 / 11:04

Truva atları bankacılık saldırılarında dörtnala

ESET, Kanada’da tespit etti ancak en çok Hollanda’da görülüyor.Bu truva atı kimlik doğrulama işlemini de atlatıyor. Truva atları giderek daha zekice davranışlar gösteriyor. ESET’in Hollanda’da tespit ettiği “Qadars“ adlı truva atı, kullanıcıların banka hesaplarına ulaşmak için, kimlik doğrulama sistemlerini de atlatabilen yeni yöntemler kullanıyor.
Son zamanlarda yeni bankacılık truva atları hızlı yayılıyor. Win32/Napolar, Win32/Hesperbot ve Win32/Qadars, hepsi son bir kaç ayda görüldü. Özellikle Hesperbot, Türkiye’yi yoğun olarak etkiledi.
Özellikle çevrimiçi bankacılık işlemlemlerinde çifte şifre girişi ya da cep telefonlarına SMS’le şifre atılması gibi uygulamalar yaygın olarak kullanılır. Ancak şimdi ESET’in Kanada‘nın Montreal kentinde bulunan kötü amaçlı yazılım araştırma laboratuvarı, Avrupa’da yaygın olarak görülen yeni ve aktif bir bankacılık truva atını tespit etti. Başta Hollanda olmak üzere Fransa ve İtalya’daki kullancıları hedef alan “Qadars“ adlı bu yeni truva atı, bankacılık işlemlerinde kullanılan kimlik doğrulama sistemini atlatma yeteneğine sahip.
Webinjectler kullanıyor
Qadars, kimlik doğrulama sistemlerini atlatabilmek için bazı Android mobil bileşenleri ve geniş bir yelpazede webinjectler yani web sayfalarının açığından faydalanarak, bu sayfalara eklenen kodları kullanıyor. Truva atı, kullanıcıların belirli bölgelerde yerini saptıyor ve kullanıcılar tarafından en sık kullanılan bankaların yapılandırma dosyalarını uygun hale getiren kodlardan faydalanıyor. Finansal dolandırıcılık gerçekleştirmeye odaklanan Qadars, kendini tarayıcının içine yerleştiriyor (Firefox ya da Internet Explorer) ve daha sonra kullanıcı tarafından görüntülenen sayfaların içine içerik ekleyebiliyor.
ESET’in tespitlerine göre Qadars’ın kullandığı bazı webinjectler çok yönlü özelliklere sahip. Bunlar, otomatik işlemler ve bankalar tarafından kullanılan iki faktörlü kimlik doğrulama sistemlerini atlatabiliyor.
ESET’in Montreal Araştıma Laboratuvarı’ndan araştırmacı Jean-Ian Boutin, “Tespit ettiğimiz kodlar, genellikle kullanıcıların bilgilerini toplamak ya da kullanıcının bilgisi ve rızası olamadan para transferi yapabilmek için dizayn edilmiş durumda. Quadars webinject yapılandırma dosyası, sık sık değişir ve farklı kurumları hedefler. Bu webinjectin başarısını maksimuma çıkarmak için, yazılım yazarları belli bölgelerdeki kullanıcılara yazılımı yerleştirir“ diye açıkladı.
Truva atları bankacılık sektörüne saldırıyor
Son zamanlarda yeni bankacılık truva atlarının canlandığın ve hızlıca yayıldığını görüyoruz.Win32/Napolar, Win32/Hesperbot ve Win32/Qadars, hepsi son bir kaç ayda görüldü. Özellikle Hesperbot, Türkiye’yi yoğun olarak etkiledi. Teknik açıdan bakıldığında webinject kodlayıcı konusunda çok ciddi gelişmeler dikkat çekiyor. ESET uzmanları, tüm bu zararlılardan korunmak için sistem yamalarının ihmal edilmemesi ve güncel bir güvenlik yazılımı kullanlmasını öneriyor.