Latin Amerika kökenli bankacılık truva atları, sürekli değişip gelişen bir tehdit olmayı sürdürüyor. ESET Araştırma Birimi, son zamanlarda bugüne kadarki en büyük kampanyalar içinde yer alan olayları kayıt altına aldı.
ESET telemetrisi, geçtiğimiz aylarda Ousaban, Grandoreiro ve Casbaneiro truva atlarının yayılmasında inanılmaz bir artış olduğunu gösteriyor. Bu durum, bu kötü amaçlı yazılım ailelerinin arkasındaki tehdit aktörlerinin, hedeflenen ülkelerdeki kullanıcılara karşı kötü amaçlı eylemlerine devam etmede kararlı olduğunu gösteriyor. Her zaman dalgalar halinde gelen bu saldırıların yüzde 90’ından fazlası istenmeyen e-posta ile yayılıyor. Bu e-postalarda ise genellikle bir ZIP arşivi veya bir MSI yükleyici yer alıyor. Bir kampanya genellikle en fazla bir hafta sürüyor.
İstenmeyen e-postalar ile yayılıyor
Latin Amerika kökenli bankacılık truva atlarıyla ilgili araştırmaya liderlik yapan ESET araştırmacısı Jakub Souček bu konuda şunları söyledi: “Brezilya en çok hedef alınan ülke. İkinci ve üçüncü sırada ise İspanya ve Meksika yer alıyor. Grandoreiro ve Mekotio, 2020 yılından bu yana İspanya başta olmak üzere Avrupa’ya yayıldı. Yeni alanları test etmek amacıyla çeşitli küçük kampanyalar olarak başlayan saldırılar gittikçe büyüyor. Hatta 2021’in Ağustos ve Eylül aylarında Grandoreiro o güne kadarki en geniş kampanyasını başlattı ve İspanya’yı hedef aldı.”
Bu yıl Haziran ayında İspanyol devlet yetkilileri, Mekotio ve Grandoreiro ile ilişkili 16 kişi yakaladı. Raporda, neredeyse 300 bin Avronun çalındığı ve toplam 3,5 milyon Avronun transferinin engellenebildiği polis tarafından açıklandı. İspanya’daki Latin Amerika kökenli bankacılık truva atlarıyla ilgili tutuklamalarla ilişkili olarak Mekotio, Grandoreiro’ya kıyasla daha büyük bir vurgun yaptı. Bu bilgiye dayanarak ESET, tutuklanan kişilerin daha çok Mekotio ile bağlantılı olduğuna inanıyor. Tutuklamanın ardından Mekotio’nun neredeyse iki ay sessiz kalmasına rağmen ESET, Mekotio’yu yayan yeni kampanyalar görmeye devam ediyor.
Latin Amerika kökenli bankacılık truva atları eskiden çok hızlı bir şekilde değişiyordu. ESET’in bu olayları takip etmeye başladığı ilk günlerde, bazılarının temel özelliklerinde ayda birkaç kez eklemeler veya değişiklikler yapılıyordu. Bugünlerde ise hâlâ sıkça değişiklik gözlemlense de temel özellikleri genellikle aynı kalıyor. Tehditlerin kısmen stabil bir şekilde gelişmesi nedeniyle, operatörlerinin şu an dağıtıma odaklandığına inanıyoruz.
Souček bu durumu şöyle açıkladı: “Latin Amerika kökenli bankacılık truva atı saldırılarının başarıya ulaşması birçok koşula bağlı. Olası kurbanların, kötü amaçlı yazılımı makinelerine kurmak için bazı adımları uygulaması, hedeflenen web sitesini ziyaret edip hesaplarına giriş yapması gerekiyor. Diğer taraftan operatörlerin kurbanın makinesini ele geçirmek için, kötü amaçlı yazılımın sahte açılır pencereler göstermesini sağlayan komutları el ile girip yanıt vermesi gerekiyor.”
ESET önümüzdeki yıllarda bu bankacılık truva atlarının bazılarının Android platformuna da yayılacağını düşünüyor.