Güvenlik araştırmacılarının yeni ortaya çıkarttığı bir bankacılık trojanı olan LokiBot, kullanıcı yazılımı fark edip yönetici izinlerini kaldırırsa bir fidye yazılımına dönüşüp cihazı kilitliyor.
SfyLabs araştırmacılarına göre bu yeni yazılım bir fidyeciden çok bankacılık trojanı. Benzer bankacılık trojanları gibi LokiBot da kullanıcıda yüklü olan popüler bankacılık uygulamalarının sahte arayüzlerini göstererek kullanıcının bilgilerini elde ediyor. Yazılım banka uygulamalarında olduğu kadar Skype, Outlook, WhatsApp gibi başka popüler uygulamaları da kopyalayarak kullanıcı bilgilerii çalabiliyor.
Yakın zamanlarda ortaya çıkan tüm Android yazılımları gibi, LokiBot da internet üzerindeki hack forumlarında satışta. Bu forumlara göre LokiBot'un tam kullanım lisansı, 2.000 dolar değerinde ve tabiki Bitcoin ile ödeniyor. Benzer yazılımlara göre kendine has bir kaç özelliği olan LokiBot, acemi hackerların da kullanabileceği bir yazılım çünkü yüklendiği cihazda bir tarayıcı açıp otomatik olarak URL'ye giderek cihazın giden internet trafiğini izlemek amacıyla bir SOCKS5 proxy sistemi kuruyor. Yazılım aynı zamanda kullanıcının SMS'lerine otomatik olarak cevap verebiliyor veya tüm rehberine gönderim yapabiliyor. Son ve en güzel özelliklerinden birisi olarak ise cihaz sahte bildirimler gösterebiliyor. Bu bildirimler, bankacılık uygulamalarının "hesabınıza havale geldi" şeklindeki bildirimleriyle benzeşiyor ve bu bildirime tıklayan kullanıcıyı sahte uygulamaya yönlendirerek bilgilerini ele geçiriyor.
Android 4..0 ve üzerinde çalışan virüs, kurulum sırasında yönetici izinlerine ihtiyaç duyuyor. Bu izinler olmadan çalışamayan yazılım, eğer kullanıcı daha sonra bu izinleri kaldırmak isterse bir fidye yazılımı fonksiyonunu tetikliyor. Şans eseri, virüsün fidye yazılımı kısmı yanlış yapılandırıldığı için kullanıcının dosyalarını şifreleyemiyor. Asıl amacı kullanıcının ekranını kilitleyip dosyalarını da şifreleyerek ödeme istemek olan bu fonksiyon, sadece ekranı kilitleyip para istiyor ancak dosyaları şifrelemiyor. Kullanıcının böyle bir durumda tek yapması gereken şeyler; telefonunu güvenli modda açıp LokiBot'un izinlerini kaldırmak, sonra da uygulamayı tamamen silmek.
Zararlı yazılımın etkilediği uygulamaları yayınlayan SfyLabs'ın listesinde ülkemizdeki uygulamalar da bol bol bulunuyor. İşte o uygulamalar:
- Ziraat Mobil
- Yapı Kredi Mobil
- Vakıfbank
- Halkbank
- İşCep
- Garanti Mobil
- Akbank Direkt
- Viber
- Outlook
- Google Play Games
- Messenger (Facebook)
Eğer bu uygulamalardan birine ya da bir kaçına sahipseniz, ki muhtemelen sahipsiniz, telefonunuzda Ayarlar>>Güvenlik>>Cihaz Yöneticileri kısmına girerek anormal görünen bir uygulama var mı kontrol ederek önleminizi alabilirsiniz. Eğer böyle bir uygulama varsa ve siz kurmamışsanız telefonunuzu Güvenli Mod'da açıp bu uygulamayı kaldırabilirsiniz. Güvenli Mod'u nasıl açacağınızla ilgili olarak buradan Google'a bir soru sorabilirsiniz.
SfyLabs'tan uzmanların açıklamasına göre yazılım, dosyalarınızın orjinallerini siliyor, kopyalarını şifreleyip anında şifrelerini çözüyor ve yine üzerlerine yazıyor. Bunun anlamı, hiç bir dosyayı kaybetmiyorsunuz ancak hepsinin isimleri değişmiş oluyor.
Uygulama her ne kadar bankacılık trojanı olsa da bu fidye yazılımı aracılığıyla ulaşılan hesaplarda şimdiden 1.5 milyon dolarlık bitcoin bulunuyor. İki hafta önce de ESET'den gelen bir keşif, DoubleLocker adlı fidye yazılımını ortaya çıkarmıştı. Bu yazılım LokiBot gibi kilitleme algoritmasında bozukluğa sahip değil, bu sebeple umarız bize bulaşmaz.
