Siber Muhbir

Bu, kötü amaçlı operasyonla ilişkili 200'den fazla kötü amaçlı uygulama keşfeden Zimperium'un yeni bir raporuna göre, tehdit aktörünün hedeflenen finansal kurumlara karşı kimlik avı saldırıları gerçekleştirdiği de gözlemlendi.

Kampanya ilk olarak Temmuz 2023'ün sonlarında Sophos'un Bank Mellat, Bank Saderat, Resalat Bank ve İran Merkez Bankası müşterilerini hedefleyen 40 kimlik bilgisi toplama uygulamasından oluşan bir kümeyi detaylandırmasıyla ortaya çıktı.

Sahte uygulamaların birincil amacı, Android'in erişilebilirlik hizmetlerini kötüye kullanarak kurbanları kendilerine kapsamlı izinler vermeleri için kandırmak ve bankacılık oturum açma kimlik bilgilerini ve kredi kartı ayrıntılarını toplamaktır.

Sophos araştırmacısı Pankaj Kohli, "Kötü amaçlı uygulamaların ilgili meşru sürümleri, bir İran Android pazarı olan Cafe Bazaar'da mevcut ve milyonlarca indirmeye sahip" dedi.

"Öte yandan, kötü niyetli taklitler, bazıları tehdit aktörlerinin C2 sunucuları olarak da kullandığı çok sayıda nispeten yeni etki alanından indirilebiliyordu."

İlginç bir şekilde, bu alan adlarından bazılarının, mobil kullanıcıların kimlik bilgilerini çalmak için tasarlanmış HTML kimlik avı sayfalarına hizmet ettiği de gözlemlendi.

Zimperium'un en son bulguları, tehdidin yalnızca daha geniş bir hedef banka ve kripto para cüzdanı uygulamaları seti açısından değil, aynı zamanda onu daha güçlü hale getiren daha önce belgelenmemiş özellikleri de içeren sürekli evrimini gösteriyor.

Bu, erişilebilirlik hizmetinin SMS mesajlarını engellemek, kaldırmayı önlemek ve kullanıcı arabirimi öğelerine tıklamak için ek izinler vermek için kullanımını içerir.

Kötü amaçlı yazılımın bazı varyantlarının, komut ve kontrol (C2) sunucusunun ve kimlik avı URL'lerinin Base64 kodlu bir sürümünü çıkarmak için GitHub depolarındaki bir README dosyasına eriştiği de bulunmuştur.

Zimperium araştırmacıları Aazim Yaswant ve Vishnu Pratapagiri, "Bu, saldırganların GitHub deposunu güncelleyerek kapatılan kimlik avı sitelerine hızlı bir şekilde yanıt vermesine olanak tanıyor ve kötü amaçlı uygulamaların her zaman en son aktif kimlik avı sitesini almasını sağlıyor" dedi.

Dikkate değer bir diğer taktik, kimlik avı sitelerine işaret eden kodlanmış dizeleri içeren metin dosyalarını barındırmak için ara C2 sunucularının kullanılmasıdır.

Kampanya şu ana kadar gözlerini Android'e dikmiş olsa da, kimlik avı sitelerinin sayfanın bir iOS cihazı tarafından açılıp açılmadığını doğrulamasına ve eğer öyleyse kurbanı Bank Saderat Iran uygulamasının iOS sürümünü taklit eden bir web sitesine yönlendirmesine dayanarak Apple'ın iOS işletim sisteminin de potansiyel bir hedef olduğuna dair kanıtlar var.

iOS kampanyasının geliştirme aşamasında olup olmadığı veya uygulamaların henüz tanımlanamayan bir kaynak aracılığıyla dağıtılıp dağıtılmadığı şu anda net değil. Öte yandan, Android kampanyasının özellikle Samsung ve Xiaomi telefonlarını ayırdığı tespit edildi.

Kimlik avı kampanyaları, kimlik bilgilerini, hesap numaralarını, cihaz modellerini ve IP adreslerini aktör tarafından kontrol edilen iki Telegram kanalına sızdırmak için gerçek web sitelerinin kimliğine bürünerek daha az karmaşık değildir.

Araştırmacılar, "Modern kötü amaçlı yazılımların daha karmaşık hale geldiği ve hedeflerin genişlediği açıktır, bu nedenle çalışma zamanı görünürlüğü ve koruması mobil uygulamalar için çok önemlidir" dedi.

Geliştirme, Fingerprint'in kötü amaçlı Android uygulamalarının, belirli bir uygulama pano verilerini okurken görüntülenen tost bildirimini gizlemek için SYSTEM_ALERT_WINDOW izninden yararlanarak pano verilerine gizlice erişebileceği ve kopyalayabileceği bir yöntem göstermesinden bir aydan biraz daha uzun bir süre sonra geldi.

Fingerprint, "Bir tostu farklı bir tostla veya başka bir görünümle fazla çekmek mümkündür, orijinal tostu tamamen gizlemek, kullanıcının pano eylemlerinden haberdar edilmesini engelleyebilir" dedi. "SYSTEM_ALERT_WINDOW iznine sahip herhangi bir uygulama, kullanıcıyı bilgilendirmeden pano verilerini okuyabilir."