Fark Edildiğinde Para İsteyen Android Virüsü: LokiBot

Güvenlik araştırmacılarının yeni ortaya çıkarttığı bir bankacılık trojanı olan LokiBot, kullanıcı yazılımı fark edip yönetici izinlerini kaldırırsa bir fidye yazılımına dönüşüp aleti kilitliyor.

SfyLabs araştırmacılarına gore bu yeni yazılım bir fidyeciden oldukca bankacılık trojanı. Benzer bankacılık trojanları benzer biçimde LokiBot da kullanıcıda yüklü olan popüler bankacılık uygulamalarının düzmece arayüzlerini göstererek kullanıcının bilgilerini elde ediyor. Yazılım banka uygulamalarında olmasıyla birlikte Skype, Outlook, WhatsApp benzer biçimde başka popüler uygulamaları da kopyalayarak kullanıcı bilgilerii çalabiliyor.

Yakın zamanlarda ortaya çıkan tüm Android yazılımları benzer biçimde, LokiBot da web üstündeki hack forumlarında satışta. Bu forumlara gore LokiBot’un tam kullanım lisansı, 2.000 dolar değerinde ve heralde Bitcoin ile ödeniyor. Benzer yazılımlara gore kendine özgü bir kaç özelliği olan LokiBot, çömez hackerların da kullanabileceği bir yazılım bundan dolayı yüklendiği cihazda bir tarayıcı açıp otomatikman URL’ye giderek cihazın giden web trafiğini seyretmek amacıyla bir SOCKS5 proxy sistemi kuruyor. Yazılım hem de kullanıcının SMS’lerine otomatikman yanıt verebiliyor yada tüm rehberine gönderim yapabiliyor. Son ve en güzel özelliklerinden birisi olarak ise aygıt düzmece bildirimler gösterebiliyor. Bu bildirimler, bankacılık uygulamalarının “hesabınıza havale geldi” şeklindeki bildirimleriyle benzeşiyor ve bu bildirime tıklayan kullanıcıyı düzmece uygulamaya yönlendirerek bilgilerini ele geçiriyor.

Android 4..0 ve üstünde çalışan virüs, kurulum esnasında yönetici izinlerine gerekseme duyuyor. Bu izinler olmadan çalışamayan yazılım, eğer kullanıcı sonrasında bu izinleri kaldırmak isterse bir fidye yazılımı fonksiyonunu tetikliyor. Talih eseri, virüsün fidye yazılımı kısmı yanlış yapılandırıldığı için kullanıcının dosyalarını şifreleyemiyor. Aslolan amacı kullanıcının ekranını kilitleyip dosyalarını da şifreleyerek ödeme istemek olan bu fonksiyon, yalnız ekranı kilitleyip para istiyor sadece dosyaları şifrelemiyor. Kullanıcının bu şekilde bir durumda tek yapması ihtiyaç duyulan şeyler; telefonunu güvenli modda açıp LokiBot’un izinlerini kaldırmak, sonrasında da uygulamayı tamamen silmek.

Zararı olan yazılımın etkilediği uygulamaları gösteren SfyLabs’ın sıralamasında ülkemizdeki uygulamalar da bol miktarda bulunuyor. İşte o uygulamalar:

• Ziraat Mobil
• Yapı Kredi Mobil
• Vakıfbank
• Halkbank
• İşCep
• Güvence Mobil
• Akbank Direkt
• WhatsApp
• Viber
• Outlook
• Google Play Games
• Feysbuk
• Messenger (Feysbuk)

Eğer bu uygulamalardan birine ya da bir kaçına sahipseniz, ki muhtemelen sahipsiniz, telefonunuzda Ayarlar>>Güvenlik>>Aygıt Yöneticileri kısmına girerek anormal görünen bir uygulama var mı denetim ederek önleminizi alabilirsiniz. Eğer bu şekilde bir uygulama var ise ve siz kurmamışsanız telefonunuzu Güvenli Mod’da açıp bu uygulamayı kaldırabilirsiniz. Güvenli Mod’u iyi mi açacağınızla ilgili olarak buradan Google’a bir sual sorabilirsiniz.

SfyLabs’tan uzmanların açıklamasına gore yazılım, dosyalarınızın orjinallerini siliyor, kopyalarını şifreleyip anında şifrelerini çözüyor ve gene üstlerine yazıyor. Bunun anlamı, hiçbir dosyayı kaybetmiyorsunuz sadece hepsinin adları değişmiş oluyor.

Uygulama her ne kadar bankacılık trojanı olsa da bu fidye yazılımı vesilesiyle erişilen hesaplarda şimdiden 1.5 milyon dolarlık bitcoin bulunuyor. İki hafta ilkin de ESET’den gelen bir bulgu, DoubleLocker adlı fidye yazılımını ortaya çıkarmıştı. Bu yazılım LokiBot benzer biçimde kilitleme algoritmasında bozukluğa haiz değil, bu sebeple umarız bizlere bulaşmaz.