Kullanฤฑcฤฑlarฤฑn bankacฤฑlฤฑk giriล bilgilerini ve kiลisel bilgilerini girmesinin ardฤฑndan bu kรถtรผ amaรงlฤฑ yazฤฑlฤฑm kurbanlarฤฑnฤฑn sistemine saldฤฑrฤฑyor. Janeleiro, ekrandaki pencereleri kontrol edebiliyor, kurbanlar hakkฤฑnda bilgi toplayabiliyor. Chrome.exeโyi (Google Chrome) kapatabiliyor, ekran gรถrรผntรผsรผ alabiliyor, hatta kontrol tuลlarฤฑnฤฑ ve fare hareketlerini kaydedebiliyor. Ayrฤฑca, kurbanฤฑn bitcoin adreslerini kendininkilerle deฤiลtirmek รผzere panoyu ele geรงirebiliyor.
Janeleiro farklฤฑ bir kodlama dili ile yazฤฑlmฤฑล
2020 yฤฑlฤฑndan bu yana ESET, Latin Amerikaโyฤฑ hedef alan baลlฤฑca bankacฤฑlฤฑk truva atฤฑ kรถtรผ amaรงlฤฑ yazฤฑlฤฑm aileleriyle ilgili bir dizi araลtฤฑrma yรผrรผtรผyor. Temel uygulama aรงฤฑsฤฑndan Brezilyaโyฤฑ hedef alan diฤer birรงok kรถtรผ amaรงlฤฑ yazฤฑlฤฑm ailesiyle aynฤฑ รถzellikleri taลฤฑyan Janeleiro kodlama dili gibi birรงok รถzelliฤiyle bu ailelerden ayrฤฑlฤฑyor. Brezilyaโdaki bankacฤฑlฤฑk truva atlarฤฑnฤฑn hepsi aynฤฑ programlama diliyle yani Delphi ile yazฤฑlmฤฑลken Janeleiro, Brezilyaโda .NET programlama diliyle yazฤฑlan ilk bankacฤฑlฤฑk truva atฤฑ olarak tanฤฑmlandฤฑ. Gizliliฤin olmamasฤฑ, รถzelleลtirilmiล ลifrelemenin bulunmamasฤฑ ve gรผvenlik yazฤฑlฤฑmlarฤฑna karลฤฑ savunmanฤฑn olmamasฤฑ da bu kรถtรผ amaรงlฤฑ yazฤฑlฤฑmฤฑ diฤerlerinden ayฤฑran รถzellikler arasฤฑnda yer alฤฑyor.
Zararlฤฑ yazฤฑlฤฑm 2018 yฤฑlฤฑndan beri geliลim gรถsteriyor
Janeleiroโnun komutlarฤฑnฤฑn bรผyรผk bir รงoฤunluฤu pencerelerin, farenin ve klavyenin kontrolรผnรผ saฤlฤฑyor. Janeleiroโyu keลfeden ESET araลtฤฑrmacฤฑsฤฑ Facundo Muรฑoz bu konuda ลu bilgileri verid: โJaneleiro saldฤฑrฤฑsฤฑ, otomasyon รถzellikleri yerine pratik yaklaลฤฑmฤฑyla tanฤฑmlanabiliyor; birรงok durumda operatรถrรผn gerรงek zamanlฤฑ komutlar aracฤฑlฤฑฤฤฑyla aรงฤฑlฤฑr pencereleri ayarladฤฑฤฤฑnฤฑ gรถrรผyoruz.
Bankacฤฑlฤฑk truva atฤฑnฤฑn 2018 yฤฑlฤฑndan bu yana geliลmekte olduฤu ve 2020 yฤฑlฤฑnda saldฤฑrฤฑ esnasฤฑnda operatรถre daha iyi kontrol imkanฤฑ sunmak รผzere komut iลlemini geliลtirdiฤi anlaลฤฑlฤฑyor. Farklฤฑ รถzelliklerin รถn plana รงฤฑktฤฑฤฤฑ farklฤฑ sรผrรผmlere sahip Janeleiroโnun deneysel yapฤฑsฤฑ, bu truva atฤฑnฤฑ geliลtirenin araรงlarฤฑnฤฑ yรถnetmek iรงin hala doฤru yรถntemlerin arayฤฑลฤฑnda olduฤunu gรถsteriyor. Ancak bu saldฤฑrgan Latin Amerikaโdaki birรงok zararlฤฑ yazฤฑlฤฑm ailesi hakkฤฑnda da oldukรงa deneyimli.โ
ฤฐlginรง bir nokta ise, bu kiลinin modรผllerini saklamak iรงin GitHub depolama hizmetini kullanacak, organizasyon sayfasฤฑnฤฑ yรถnetecek ve truva atlarฤฑnฤฑn operatรถrlerine baฤlanmak iรงin kullandฤฑฤฤฑ komuta ve kontrol (C&C) sunucularฤฑnฤฑn listelerinin bulunduฤu dosyalarฤฑ sakladฤฑฤฤฑ yeni depolarฤฑ her gรผn yรผkleyecek rahatlฤฑฤa sahip olmasฤฑ. Kurbanฤฑn makinesinde bankacฤฑlฤฑkla ilgili anahtar kelimelerden birine rastladฤฑฤฤฑnda, anฤฑnda GitHubโtaki C&C sunucularฤฑndaki adreslerden almaya ve onlara baฤlanmaya รงalฤฑลฤฑyor. Bu sahte aรงฤฑlฤฑr pencereler, dinamik bir ลekilde talebe baฤlฤฑ olarak oluลturuluyor ve komutlar aracฤฑlฤฑฤฤฑyla saldฤฑrgan tarafฤฑndan kontrol ediliyor. ESET, GitHubโu bu etkinlik konusunda bilgilendirdi, ancak ลu ana dek organizasyonun sayfasฤฑyla veya kullanฤฑcฤฑ hesabฤฑyla ilgili herhangi bir yaptฤฑrฤฑm sรถz konusu deฤil.
