WhatsApp hesabınıza uzaktan ulaşabilen zararlı yazılım, gerekli izinlere erişebildiği takdirde telefonunuzu ele geçiriyor. Rehberinizdeki numaralara WhatsApp’tan mesaj gönderme yetkisini de taklit eden virüs, sizden doldurmanızı istediği bir form vasıtasıyla kredi kartı bilgilerinizi çalıyor.

Check Point ekibine bağlı araştırmacıların keşfettiği zararlı yazılım, FlixOnline olarak adlandırılıyor. Kendisini Netflix gibi gösteren kötü amaçlı yazılımın çalışma mantığı şöyle:

FlixOnline, yüklendikten sonra kullanıcıdan üç izin istiyor; ekran yer paylaşımı, pil optimizasyonunu kapatma ve bildirimlere erişme. Ekran yer paylaşımı iznini kullanarak sahte girişler oluşturan zararlı yazılım, uygulamalar üzerinde sahte pencereler üreterek kullanıcı kimlik bilgilerini çalabiliyor.

Bildirim izni sayesinde WhatsApp’tan gelen mesajları okuyabilen FlixOnline, rehberinizdeki kişilere otomatik olarak şu mesajı gönderiyor:

“Karantina Nedeniyle (CORONA VİRÜSÜ) Ücretsiz 2 Aylık Netflix Premium Ücretsiz. 60 gün boyunca dünyanın her yerinde 2 Aylık Ücretsiz Netflix Premium Alın. Hemen BURADAN edinin: https://bit[.]Ly/3bDmzUw”

Mesajdaki bağlantıya tıklayanları ise saldırganların oluşturduğu bir form karşılıyor. FlixOnline, hedefindeki kişiye iki aylık ücretsiz Netflix aboneliği kazanmak için bu formu doldurması gerektiğini söylüyor. İşte tam bu noktada, kurbanın verdiği bütün kredi kartı bilgileri kötü niyetli kişilerin eline geçiyor.

Google, virüsü Play Store’dan kaldırdı

Bir Check Point Software sözcüsü Aviran Huzum, FlixOnline’ın gerçekleştirdiği kimlik avı saldırısının yeni bir zararlı yazılım yöntemi olduğunu söyledi. Yazılımın Play Store’dan kaldırıldığını ekleyen Huzum, şu açıklamayı yaptı:

“Kötü amaçlı yazılımın tekniği yeni ve yenilikçi. Bildirimleri yakalayarak kullanıcıların WhatsApp hesabını ele geçiriyor. Ayrıca Bildirim Yöneticisi aracılığıyla ‘kapat’ veya ‘yanıtla’ gibi önceden tanımlanmış eylemler gerçekleştiriyor. Kötü amaçlı yazılımın bu kadar kolay gizlenebilmesi ve nihayetinde Play Store’un korumalarını atlayabilmesi, bazı ciddi tehlike işaretlerini ortaya çıkarıyor.”

Aviran Huzum, bu kötü amaçlı yazılımın, Play Store’un yerleşik korumalarının güvensizliğini ortaya koyduğunu söyledi. Google’ın bu uygulamadaki tehditleri otomatik araçları ile tespit edemediğini ifade etti. Yazılımın etkinliğini durdurabildiklerini de sözlerine ekleyen Huzum, ileride farklı bir uygulama aracılığıyla kendisini gizleyerek geri dönebileceği konusunda da kullanıcıları uyardı.