Türk bankalarına Godfather truva atıyla saldırıyorlar: Türkiye en büyük ikinci hedef!

lexom

Katılımcı Üye
13 Mar 2022
622
631
BİRKAN'
6280c6324e3fe125c8b98252.jpg

Android platformunda çalışan bankacılık truva atı Godfather‘ın, kullanıcıları ikna edici sahte web siteleri ve sızılan cihazın ekranında uygulama üstünde görüntüleme gibi taktiklerle şu ana dek 400’den fazla uygulamanın müşterilerine saldırı düzenlendiği ortaya çıktı.

Godfather’ı kullanan kötü amaçlı kişiler bu yöntemle kurbanların giriş bilgilerini çalmaya, ayrıca iki faktörlü kimlik doğrulamasını atlatarak kurbanların hesaplarına erişmeye ve paralarını çekmeye çalışıyor. Group-IB’nin siber tehdit istihbaratı ekibi, bu yeni Android truva atına yönelik araştırmalarında Godfather’ın, işlevselliği Android güncellemeleriyle ve kötü amaçlı yazılım tespit ve engelleme çözümü sağlayıcılarının geçmişteki çabalarıyla sınırlanan; çok yaygın kullanılan bankacılık truva atı Anubis‘in yeni versiyonu olduğunu keşfetti. Söz konusu araştırma Godfather’ın kullanımının günden güne arttığını da gösterdi.






ARKASINDA RUSÇA KONUŞAN TEHDİT AKTÖRLERİ OLABİLİR


Firmanın araştırmasına göre Godfather’ın yazılımında truva atının Rusça ya da eski Sovyetler Birliği’nde kullanılan dillerden birini konuşan kullanıcılara saldırmasını engelleyen bir işlev bulundu. Bu durum Godfather’ın geliştiricilerinin Rusça konuştuğunu düşündürebilir. Truva atı, bunu, bulaştığı cihazın sistem dilini kontrol ettikten sonra dilin Rusça, Azerice, Ermenice, Belarusça, Kazakça, Kırgızca, Moldovoca, Özbekçe veya Tacikçe olması halinde kendini kapatarak gerçekleştiriyor.



images

Araştırmacılara göre Godfather, kaynak kodu 2019 yılında sızdırılan Anubis bankacılık truva atının geliştirilmiş bir sürümü. Anubis’in işlevleri Android güncellemeleriyle azaltılmıştı. Sonrasında kötü amaçlı yazılım geliştiricileri, bu truva atını güncellemek ve hiçbir şeyden habersiz kullanıcılara saldırmaya devam edebilmesini sağlamak için yeni yollar aradı.

tabanına sahip olduğunu fakat Godfather’ın komuta ve kontrol iletişim protokollerinin ve kabiliyetlerinin güncellendiğini tespit etti. Ayrıca Godfather’ın geliştiricileri Anubis’in trafik şifreleme algoritmasını değiştirmiş, Google Authenticator OTP’leri (tek kullanımlık şifreler) gibi bazı işlevleri güncellemiş ve sanal ağ bilgi işlem bağlantılarını yönetebilmek için ayrı bir modül eklemişti. Anubis’te bulunan dosya şifreleme, ses kaydetme ve GPS verisi çözümleme gibi truva atı işlevleri kaldırılmıştı.




virus-nedir.jpg

Analistler, Godfather’ı ilk olarak Haziran 2021’de tespit etti. Godfather’ın dolaşımı Haziran 2022’de durmuştu. Uzmanlar, bunun sebebinin bu kötü amaçlı yazılımın tekrar güncellenmesi olduğuna inanıyor. Sürecin devamında Godfather Eylül 2022’de tekrar ortaya çıktı. Bu sefer WebSocket işlevi kısmen değiştirilmişti. Bu truva atını diğerlerinden farklı kılan bir özelliği ise Hizmet olarak kötü amaçlı yazılım (MaaS) modeli kullanılarak dağıtılabilmesi idi. Araştırmacılar aynı zamanda Godfather’ın C&C (komuta ve kontrol) adreslerinin Anubis’te olduğu gibi Telegram kanal tanımları üzerinden paylaşıldığını tespit etti.






GOOGLE PLAYSTORE ÜZERİNDEN CİHAZLARA BULAŞMIŞ OLABİLİR


Zararlı yazılımın cihazlara nasıl bulaştığı henüz netleşmezken, Godfather truva atının, Google Play Store’da yer alan kötü amaçlı bir uygulamanın içinde yer aldığı düşünülüyor. Godfather bir cihaza indirildiğinde, Google Play Store’dan uygulama indirilmesi halinde bir kereye mahsus çalışan ve gerçek bir uygulama olan Google Protect’i taklit ederek cihazda kalıcı olmaya çalışıyor. Bu kötü amaçlı yazılım, gerçek Google uygulaması gibi davranabiliyor ve kullanıcıya “tarama yaptığını” belirten bir ekran gösteriyor. Fakat kötü amaçlı yazılımın yaptığı şeyin taramayla hiçbir ilgisi yok. Aksine, kalıcı bir “Google Protect” bildirimi oluşturuyor ve simgesini yüklenen uygulamalar listesinden gizliyor.

“Google Protect” adıyla görünen bu kötü amaçlı yazılım ayrıca, geliştiricilerin uygulamalarını engelli kullanıcılara uyarlamak için kullandığı bir Android özelliği olan AccessibilityService’e erişim istemek için bir hizmet başlatıyor. AccessibilityService’e erişim isteği; kullanıcı, sahte Google Protect uygulamasındaki “Scan” (Tara) butonuna bastığında da gönderiliyor. AccessibilityService’e erişim elde eden Godfather, kendisine gerekli izinleri vererek C&C sunucusuyla iletişim kurmaya başlıyor.


GODFATHER KULLANICILARI DEFALARCA TUZAĞA ÇEKİYOR


Cihazına kötü amaçlı yazılımın bulaştığından bihaber olan kullanıcı, günlük hayatına devam ediyor. Godfather da bu noktada harekete geçiyor. Birçok diğer bankacılık truva atında olduğu gibi Godfather’ın da karakteristik özelliği sahte web sayfalarını; bir diğer adıyla, kötü amaçlı kişiler tarafından oluşturulan ve gerçek uygulamaların üstünde gösterilen HTML sayfalarını kullanmak. Kullanıcı bu sahte web sayfalarıyla; Godfather tarafından hedef alınan gerçek bir uygulamayı açmak ya da cihazında yüklü, hedef alınan bir bankacılık veya kripto uygulamasının sahte bildirimine yanıt vermek suretiyle iki şekilde etkileşime geçebiliyor.

Sahte web sayfaları gerçek uygulamaların oturum açma sayfalarını taklit ediyor ve bu sahte HTML sayfalarına girilen kullanıcı adı ve parola gibi tüm veriler, C&C sunucularına gizlice gönderiliyor. Godfather’ın anlık bildirimleri gizlice başka yerlere gönderip iki faktörlü kimlik doğrulama kodlarını toplama işleviyle kötü amaçlı kişiler, bu giriş bilgilerini topluyor, gerçek uygulamalara giriş yapmak için kullanıyor ve ardından kullanıcının hesaplarını boşaltıyor.

Godfather’ın işlevleri ayrıca şunları da içeriyor:

  • Kurbanın cihazının ekranını kaydetme
  • VNC bağlantıları kurma
  • Tuş kaydedici çalıştırma
  • Anlık bildirimleri gizlice başka yerlere gönderme (iki faktörlü kimlik doğrulamasını atlatmak için); truva atının önceki sürümleri ayrıca SMS mesajlarını da gizlice başka yerlere gönderiyordu
  • Çağrı yönlendirme (iki faktörlü kimlik doğrulamasını atlatmak için)
  • USSD istekleri gönderme
  • Bulaştığı cihazlardan SMS mesajı gönderme
  • Vekil sunucu açma.
 
Son düzenleme:

ankamurat

Katılımcı Üye
24 Eyl 2022
453
186
┌─(root@ankamurat)
6280c6324e3fe125c8b98252.jpg

Android platformunda çalışan bankacılık truva atı Godfather‘ın, kullanıcıları ikna edici sahte web siteleri ve sızılan cihazın ekranında uygulama üstünde görüntüleme gibi taktiklerle şu ana dek 400’den fazla uygulamanın müşterilerine saldırı düzenlendiği ortaya çıktı.

Godfather’ı kullanan kötü amaçlı kişiler bu yöntemle kurbanların giriş bilgilerini çalmaya, ayrıca iki faktörlü kimlik doğrulamasını atlatarak kurbanların hesaplarına erişmeye ve paralarını çekmeye çalışıyor. Group-IB’nin siber tehdit istihbaratı ekibi, bu yeni Android truva atına yönelik araştırmalarında Godfather’ın, işlevselliği Android güncellemeleriyle ve kötü amaçlı yazılım tespit ve engelleme çözümü sağlayıcılarının geçmişteki çabalarıyla sınırlanan; çok yaygın kullanılan bankacılık truva atı Anubis‘in yeni versiyonu olduğunu keşfetti. Söz konusu araştırma Godfather’ın kullanımının günden güne arttığını da gösterdi.






ARKASINDA RUSÇA KONUŞAN TEHDİT AKTÖRLERİ OLABİLİR


Firmanın araştırmasına göre Godfather’ın yazılımında truva atının Rusça ya da eski Sovyetler Birliği’nde kullanılan dillerden birini konuşan kullanıcılara saldırmasını engelleyen bir işlev bulundu. Bu durum Godfather’ın geliştiricilerinin Rusça konuştuğunu düşündürebilir. Truva atı, bunu, bulaştığı cihazın sistem dilini kontrol ettikten sonra dilin Rusça, Azerice, Ermenice, Belarusça, Kazakça, Kırgızca, Moldovoca, Özbekçe veya Tacikçe olması halinde kendini kapatarak gerçekleştiriyor.



images

Araştırmacılara göre Godfather, kaynak kodu 2019 yılında sızdırılan Anubis bankacılık truva atının geliştirilmiş bir sürümü. Anubis’in işlevleri Android güncellemeleriyle azaltılmıştı. Sonrasında kötü amaçlı yazılım geliştiricileri, bu truva atını güncellemek ve hiçbir şeyden habersiz kullanıcılara saldırmaya devam edebilmesini sağlamak için yeni yollar aradı.

tabanına sahip olduğunu fakat Godfather’ın komuta ve kontrol iletişim protokollerinin ve kabiliyetlerinin güncellendiğini tespit etti. Ayrıca Godfather’ın geliştiricileri Anubis’in trafik şifreleme algoritmasını değiştirmiş, Google Authenticator OTP’leri (tek kullanımlık şifreler) gibi bazı işlevleri güncellemiş ve sanal ağ bilgi işlem bağlantılarını yönetebilmek için ayrı bir modül eklemişti. Anubis’te bulunan dosya şifreleme, ses kaydetme ve GPS verisi çözümleme gibi truva atı işlevleri kaldırılmıştı.




virus-nedir.jpg

Analistler, Godfather’ı ilk olarak Haziran 2021’de tespit etti. Godfather’ın dolaşımı Haziran 2022’de durmuştu. Uzmanlar, bunun sebebinin bu kötü amaçlı yazılımın tekrar güncellenmesi olduğuna inanıyor. Sürecin devamında Godfather Eylül 2022’de tekrar ortaya çıktı. Bu sefer WebSocket işlevi kısmen değiştirilmişti. Bu truva atını diğerlerinden farklı kılan bir özelliği ise Hizmet olarak kötü amaçlı yazılım (MaaS) modeli kullanılarak dağıtılabilmesi idi. Araştırmacılar aynı zamanda Godfather’ın C&C (komuta ve kontrol) adreslerinin Anubis’te olduğu gibi Telegram kanal tanımları üzerinden paylaşıldığını tespit etti.






GOOGLE PLAYSTORE ÜZERİNDEN CİHAZLARA BULAŞMIŞ OLABİLİR


Zararlı yazılımın cihazlara nasıl bulaştığı henüz netleşmezken, Godfather truva atının, Google Play Store’da yer alan kötü amaçlı bir uygulamanın içinde yer aldığı düşünülüyor. Godfather bir cihaza indirildiğinde, Google Play Store’dan uygulama indirilmesi halinde bir kereye mahsus çalışan ve gerçek bir uygulama olan Google Protect’i taklit ederek cihazda kalıcı olmaya çalışıyor. Bu kötü amaçlı yazılım, gerçek Google uygulaması gibi davranabiliyor ve kullanıcıya “tarama yaptığını” belirten bir ekran gösteriyor. Fakat kötü amaçlı yazılımın yaptığı şeyin taramayla hiçbir ilgisi yok. Aksine, kalıcı bir “Google Protect” bildirimi oluşturuyor ve simgesini yüklenen uygulamalar listesinden gizliyor.

“Google Protect” adıyla görünen bu kötü amaçlı yazılım ayrıca, geliştiricilerin uygulamalarını engelli kullanıcılara uyarlamak için kullandığı bir Android özelliği olan AccessibilityService’e erişim istemek için bir hizmet başlatıyor. AccessibilityService’e erişim isteği; kullanıcı, sahte Google Protect uygulamasındaki “Scan” (Tara) butonuna bastığında da gönderiliyor. AccessibilityService’e erişim elde eden Godfather, kendisine gerekli izinleri vererek C&C sunucusuyla iletişim kurmaya başlıyor.


GODFATHER KULLANICILARI DEFALARCA TUZAĞA ÇEKİYOR


Cihazına kötü amaçlı yazılımın bulaştığından bihaber olan kullanıcı, günlük hayatına devam ediyor. Godfather da bu noktada harekete geçiyor. Birçok diğer bankacılık truva atında olduğu gibi Godfather’ın da karakteristik özelliği sahte web sayfalarını; bir diğer adıyla, kötü amaçlı kişiler tarafından oluşturulan ve gerçek uygulamaların üstünde gösterilen HTML sayfalarını kullanmak. Kullanıcı bu sahte web sayfalarıyla; Godfather tarafından hedef alınan gerçek bir uygulamayı açmak ya da cihazında yüklü, hedef alınan bir bankacılık veya kripto uygulamasının sahte bildirimine yanıt vermek suretiyle iki şekilde etkileşime geçebiliyor.

Sahte web sayfaları gerçek uygulamaların oturum açma sayfalarını taklit ediyor ve bu sahte HTML sayfalarına girilen kullanıcı adı ve parola gibi tüm veriler, C&C sunucularına gizlice gönderiliyor. Godfather’ın anlık bildirimleri gizlice başka yerlere gönderip iki faktörlü kimlik doğrulama kodlarını toplama işleviyle kötü amaçlı kişiler, bu giriş bilgilerini topluyor, gerçek uygulamalara giriş yapmak için kullanıyor ve ardından kullanıcının hesaplarını boşaltıyor.

Godfather’ın işlevleri ayrıca şunları da içeriyor:

  • Kurbanın cihazının ekranını kaydetme
  • VNC bağlantıları kurma
  • Tuş kaydedici çalıştırma
  • Anlık bildirimleri gizlice başka yerlere gönderme (iki faktörlü kimlik doğrulamasını atlatmak için); truva atının önceki sürümleri ayrıca SMS mesajlarını da gizlice başka yerlere gönderiyordu
  • Çağrı yönlendirme (iki faktörlü kimlik doğrulamasını atlatmak için)
  • USSD istekleri gönderme
  • Bulaştığı cihazlardan SMS mesajı gönderme
  • Vekil sunucu açma.
ilk hedefleri nedense sürekli türkiye
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.