Hintli Android kullanıcılarını hedef alan banka ve devlet kurumu kılığına girmiş kötü amaçlı uygulamalar
Hindistan'daki Android akıllı telefon kullanıcıları, hassas verileri toplayabilen sahte uygulamalar yüklemek için sosyal mühendislik tuzakları kullanan yeni bir kötü amaçlı yazılım kampanyasının hedefidir.
Microsoft tehdit istihbaratı araştırmacıları Abhishek Pustakala, Harshita Tripathi ve Shivang Desai Pazartesi günü yaptıkları analizde, "Saldırganlar, WhatsApp ve Telegram gibi sosyal medya platformlarını kullanarak, bankalar, devlet hizmetleri ve kamu hizmetleri gibi meşru kuruluşların kimliğine bürünerek kullanıcıları mobil cihazlarına kötü amaçlı bir uygulama yüklemeye ikna etmek için tasarlanmış mesajlar gönderiyor" dedi.
Operasyonun nihai amacı, banka bilgilerini, ödeme kartı bilgilerini, hesap kimlik bilgilerini ve diğer kişisel verileri ele geçirmektir.
Saldırı zincirleri, WhatsApp ve Telegram'da gönderilen sosyal medya mesajları aracılığıyla kötü amaçlı APK dosyalarını yanlış bir şekilde bankacılık uygulamaları olarak sunarak paylaşmayı ve sahte uygulama aracılığıyla Hindistan Gelir Vergisi Dairesi tarafından verilen kalıcı hesap numaralarını (PAN) güncellemedikleri sürece hedeflerin banka hesaplarının bloke edileceğini iddia ederek aciliyet duygusu uyandırmayı içerir.
Kurulumun ardından uygulama, kurbandan banka hesap bilgilerini, banka kartı PIN'ini, PAN kart numaralarını ve çevrimiçi bankacılık kimlik bilgilerini girmeye teşvik eder ve bunlar daha sonra aktör tarafından kontrol edilen bir komuta ve kontrol (C2) sunucusuna ve sabit kodlanmış bir telefon numarasına iletilir.
Araştırmacılar, "İstenen tüm ayrıntılar gönderildikten sonra, ayrıntıların KYC'yi güncellemek için doğrulandığını belirten şüpheli bir not beliriyor" dedi.
"Kullanıcıya 30 dakika beklemesi ve uygulamayı silmemesi veya kaldırmaması talimatı verilir. Ek olarak, uygulama, simgesini gizleme işlevine sahiptir ve bu da arka planda çalışırken kullanıcının cihazının ana ekranından kaybolmasına neden olur."
Kötü amaçlı yazılımın dikkate değer bir diğer yönü de, kullanıcıdan SMS mesajlarını okuma ve gönderme izni vermesini istemesi, böylece tek seferlik parolaları (OTP'ler) ele geçirmesini ve kurbanların mesajlarını SMS yoluyla tehdit aktörünün telefon numarasına göndermesini sağlamasıdır.
Microsoft tarafından keşfedilen bankacılık truva atının varyantlarının, kişisel olarak tanımlanabilir bilgiler (PII) ve gelen SMS mesajlarıyla birlikte kredi kartı bilgilerini çaldığı ve şüphelenmeyen kullanıcıları finansal dolandırıcılığa maruz bıraktığı da tespit edildi.
Ancak, bu saldırıların başarılı olması için kullanıcıların Google Play Store dışındaki bilinmeyen kaynaklardan uygulama yükleme seçeneğini etkinleştirmeleri gerekeceğini belirtmekte fayda var.
Araştırmacılar, "Mobil bankacılık truva atı enfeksiyonları, kullanıcıların kişisel bilgileri, gizliliği, cihaz bütünlüğü ve finansal güvenliği için önemli riskler oluşturabilir" dedi. "Bu tehditler genellikle kendilerini meşru uygulamalar olarak gizleyebilir ve hedeflerine ulaşmak ve kullanıcıların hassas verilerini ve finansal varlıklarını çalmak için sosyal mühendislik taktikleri uygulayabilir."
Gelişme, Android ekosisteminin, hassas bilgileri sifonlamak için bir mod kisvesi altında Roblox kullanıcılarını hedef alan SpyNote truva atının saldırısına uğramasıyla geldi.
Başka bir örnekte, sahte yetişkin web siteleri, kullanıcıları özellikle kripto para cüzdanlarından veri çalmaya odaklanan Enchant adlı bir Android kötü amaçlı yazılımını indirmeye ikna etmek için yem olarak kullanılıyor.
Cyble, yakın tarihli bir raporda, "Enchant kötü amaçlı yazılımı, imToken, OKX, Bitpie Wallet ve TokenPocket cüzdanı dahil olmak üzere belirli kripto para cüzdanlarını hedeflemek için erişilebilirlik hizmeti özelliğini kullanıyor" dedi.
"Birincil amacı, güvenliği ihlal edilmiş cihazlardan cüzdan adresleri, anımsatıcı ifadeler, cüzdan varlık ayrıntıları, cüzdan şifreleri ve özel anahtarlar gibi kritik bilgileri çalmaktır."
Geçen ay Doctor Web, Google Play Store'da araya giren reklamlar (HiddenAds), kullanıcıları bilgileri veya rızaları olmadan premium hizmetlere abone olan (Joker) ve ticaret yazılımı (FakeApp) gibi davranarak yatırım dolandırıcılığını teşvik eden birkaç kötü amaçlı uygulamayı ortaya çıkardı.
Android kötü amaçlı yazılımlarının saldırısı, Google'ı daha önce taranmamış uygulamalar için gerçek zamanlı kod düzeyinde tarama gibi yeni güvenlik özelliklerini duyurmaya sevk etti. Ayrıca, Android 13 ile, kullanıcı tarafından açıkça etkinleştirilmediği sürece uygulamaların kritik cihaz ayarlarına (ör. erişilebilirlik) erişmesini yasaklayan kısıtlı ayarları başlattı.
Sadece Google değil. Samsung, Ekim 2023'ün sonlarında, Galaxy cihazları için Google Play Store ve Galaxy Store dışındaki kaynaklardan uygulama yüklemelerini engelleyen ve USB bağlantı noktası aracılığıyla zararlı komutları ve yazılım yüklemelerini engelleyen yeni bir Otomatik Engelleyici seçeneğini tanıttı.
Google Play'den ve diğer güvenilir kaynaklardan kötü amaçlı yazılım indirmekten kaçınmak için kullanıcıların uygulama geliştiricilerinin meşruiyetini kontrol etmeleri, incelemeleri incelemeleri ve uygulamalar tarafından istenen izinleri incelemeleri önerilir.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı