Daha önce tek tıkla faturalandırma sahteciliği yapanların akıllı telefon kullanıcılarını hedeflemeye başladığını yine bu sayfamız aracılığıyla duyurmuştuk. Adından da anlaşılacağı üzere bu sahtekarlık çeşidi, kurbanlarını belirli bir siteye yönlendirdikten sonra bir servise kayıt olmak ve bu servis için para ödemek üzere kandırıyor. En son rastladığımız bu tarz bir sahtekarlık olayında, bilgilerinin bir yetişkin sitesine gönderilmesinin engellenmesi adına kurbanlardan para ödemeleri isteniyordu.

Şimdi buna benzer başka bir sahtekarlık vakasına daha rastladık. Fakat bu sefer özellikle zararlı bir uygulama ile Android kullanıcıları hedefleniyor.

Saldırı, oyun videoları gösteren bir blog sitesi tarafından tetikleniyor. Game Dunga adındaki bu blogun alan adı geçmişte tam üç kere değiştirildi. Sitenin geçmiş versiyonlarında yetişkin içeriklerinin yanı sıra oyun videolarına yönlendirme yapan pek çok bağlantı vardı. Üçüncü yani şu anki sürümünde ise site sadece yetişkin içeriklerine yönlendirme yapan linkler bulunuyor.

Bu videolardan herhangi birini izlemeye çalışırsanız bir pop-up pencere açılıyor ve ANDROIDOS_FAKETIMER.A olarak belirlenen zararlı yazılım uygulamasını indirmeniz isteniyor. ANDROIDOS_FAKETIMER.A, Android kullanıcılarının hesap bilgilerini elde ediyor ve bunu aşağıdaki metotların parametresi olarak belirli bir linke gönderiyor:

•(getAccounts()) metodu – Mağdur kullanıcıların cihazları tarafından yönetilen Gmail hesap bilgilerini elde etmek için.

•(getDeviceID()) metodu – Etkilenen cihazların SIM bilgilerini elde etmek için.

•(getLine1Number()) metodu – Etkilenen cihazların numarasını elde etmek için.

Bu metotlarla elde edilen bilgiler siber suçlulara gönderiliyor.

ANDROIDOS_FAKETIMER.A, aynı zamanda “Ödemeniz henüz bize ulaşmadı. Bu nedenle kurallarımız gereği, eğer henüz ödeme yapmadıysanız yapmanızı talep ederiz” mesajını içerek bir pop-up gösteriyor.

Bununla birlikte ANDROIDOS_FAKETIMER.A, güvenilir olduğunu göstermek ve kurbanı ödeme yapması için ikna etmek adına çaldığı bir bilgiyi kullanıcıyla paylaşıyor.

Tek tıkla faturalandırma sahteciliği için uygulama kullanımı bu hilekarlığa belirli bir seviyede devamlılık sağlıyor, ki bu daha bu kadar belirgin değildi. Geçmiş sahtekarlık vakalarında, zararlı bir site aracılığıyla rutin gerçekleşirdi ve tarayıcıyı kapamak saldırıyı durdurabilirdi. Fakat şimdi, rutinden sorumlu olan cihaza yüklenen bir uygulama olduğu için, kullanıcının ödeme yapmasını isteyen anımsatıcı sürekli olarak görülüyor. Kod üzerinde çalıştığımız zaman, pop-up’ın her 5 dakikada bir görülmek üzere ayarlandığını tespit ettik.

Kullanıcılara kurban olmamaları için önerimiz, buna benzer bir siteye girdikleri zaman, hiçbir linke tıklamamaları ve derhal bu siteden çıkmaları olacak. Smart Protection Network, Web Reputation teknolojimiz sayesinde bağlantılı linkleri engellemiş durumda ve zararlı yazılımları anında saptayabiliyor. Sizlere ise biraz daha dikkatli olmak düşüyor.