Android ekosistemini hedef alan yeni bir zararlı yazılım türü ortaya çıktı. Albiriox adı verilen bu trojan bankacılık uygulamalarını sessiz şekilde manipüle edebilen gelişmiş bir yapıya sahip. Bu zararlı yazılım sahte APK dosyaları üzerinden yayılıyor ve kullanıcıların cihazlarına uzaktan erişim sağlayarak bankacılık işlemlerini doğrudan gerçekleştirebiliyor.
Yeni Android bankacılık virüsü Albiriox hesapları sessizce boşaltıyor
Çevrim içi dolandırıcılık faaliyetlerini takip eden araştırmacılar Albiriox’ın tıpkı kısa süre önce tespit edilen Sturnus isimli zararlı yazılım gibi sahte APK dosyaları aracılığıyla dağıtıldığını raporladı. Kullanıcılar, gerçeğini taklit eden uygulama listeleri, promosyon bağlantıları veya indirme vaatleriyle kandırılıyor.
Bu yöntemlerin bir kısmı Google Play Store sayfalarının birebir kopyalanmasıyla uygulanıyor. Kullanıcılar uygulamanın güvenli kaynaktan geldiğini düşünerek dosyayı indiriyor ancak aslında cihazlarına zararlı yazılım yüklüyor.
Sahte kampanyalar ve indirme bağlantıları WhatsApp ve Telegram gibi popüler mesajlaşma uygulamaları üzerinden de paylaşılıyor. Bu yöntemlerle hedeflenen kullanıcıların iletişim bilgileri ele geçiriliyor ve ardından zararlı APK’lar doğrudan gönderiliyor.
Araştırmaya göre Albiriox, özellikle Rusya ve çevre bölgelerdeki saldırganlar tarafından kullanılıyor. Zararlı yazılımın etkisi, karanlık ağ ortamlarında Malware-as-a-Service modeliyle sunulmaya başlamasıyla birlikte daha geniş bir alana yayılıyor. Bu modelde saldırganlar belirli bir ücret karşılığında zararlı yazılımın kullanımına erişiyor ve bunu kendi saldırı kampanyalarında dağıtabiliyor.
Cihazlara yüklenen ilk APK’lar genellikle bilinmeyen kaynaklardan yükleme iznini açtırmak için hazırlanmış ara katman uygulamalar. Kullanıcı bu izni verdiğinde ikinci aşamada asıl zararlı olan Albiriox cihazda çalışmaya başlıyor. Bu aşamadan sonra trojan, bankacılık ve finans kategorisinde yer alan uygulamalara doğrudan işlem yaptırabiliyor.
Cleafy araştırmacıları şimdiye kadar 400’den fazla sahte uygulamayı engelledi. Bu uygulamalar bankacılık, fintech, dijital ödeme ve kripto para kategorilerinde yer alıyor. Albiriox’ın en dikkat çekici özelliği kullanıcı adı ve şifre çalmaya odaklanan trojanlardan farklı olarak hesaplara doğrudan işlem yapabilmesi. Böylece saldırganlar kurbanların cihazındaki bankacılık uygulamalarını kullanarak para transferi gerçekleştirebiliyor.
Albiriox arka planda sessiz bir şekilde çalıştığı için tespit edilmesi zor oluyor. Bu nedenle kullanıcıların özellikle finansal işlemlerle ilgili uygulamaları yüklerken dikkatli olması gerekiyor. Uygulamaların yalnızca Google Play Store üzerinden indirilmesi, Play Protect’in güncel tutulması ve cihazın son güvenlik yamalarıyla güncellenmesi kritik önem taşıyor. Google, Aralık ayına ait Android güvenlik bültenini yayımladı ve mevcut açıkların kapatıldığını duyurdu.
