Siber Suçlular, OTP Kodlarını Çalmak için 100K+ Kötü Amaçlı Yazılım Android Uygulaması Dağıtıyor
107.000'den fazla benzersiz örneği kapsayan kötü amaçlı uygulamalar, kimlik sahtekarlığı yapmak için çevrimiçi hesap doğrulaması için kullanılan tek seferlik parolaları (OTP'ler) ele geçirmek üzere tasarlanmıştır.
Mobil güvenlik firması Zimperium, paylaşılan bir raporda, "Bu 107.000 kötü amaçlı yazılım örneğinden, bu uygulamaların 99.000'den fazlası bilinmiyor ve genel olarak mevcut depolarda kullanılamıyor" dedi. "Bu kötü amaçlı yazılım, 600'den fazla küresel markada tek seferlik şifre mesajlarını izliyordu ve bazı markaların kullanıcı sayısı yüz milyonlarca kullanıcıydı."
Kampanyanın kurbanları 113 ülkede tespit edilirken, listenin başında Hindistan ve Rusya yer alırken, onu Brezilya, Meksika, ABD, Ukrayna, İspanya ve Türkiye izledi.
Saldırının başlangıç noktası, bir kurbanın Google Play Store uygulama listelerini taklit eden aldatıcı reklamlar veya meşru hizmetler gibi görünerek dağıtım kanalı olarak hizmet veren 2.600 Telegram botundan herhangi biri (örneğin, Microsoft Word) aracılığıyla cihazlarına yüklemesi için kandırıldığı kötü amaçlı bir uygulamanın yüklenmesidir.
Uygulama yüklendikten sonra, gelen SMS mesajlarına erişmek için izin ister ve ardından çalınan SMS mesajlarını iletmek için 13 komut ve kontrol (C2) sunucusundan birine ulaşır.
Araştırmacılar, "Kötü amaçlı yazılım gizli kalıyor ve sürekli olarak yeni gelen SMS mesajlarını izliyor" dedi. "Birincil hedefi, çevrimiçi hesap doğrulaması için kullanılan OTP'lerdir."
Operasyonun arkasında kimin olduğu şu anda belli değil, ancak tehdit aktörlerinin Hızlı SMS (fastsms[.] su) Bu, müşterilerin sanal telefon numaralarına erişim satın almalarını sağlar.
Virüslü cihazlarla ilişkili telefon numaralarının, iki faktörlü kimlik doğrulama (2FA) için gereken OTP'leri toplayarak çeşitli çevrimiçi hesaplara kaydolmak için sahibinin bilgisi olmadan kullanılması muhtemeldir.
2022'nin başlarında Trend Micro, Android cihazları "tek kullanımlık hesapları toplu olarak kaydetmek veya dolandırıcılık ve diğer suç faaliyetlerini yürütmek için telefonla doğrulanmış hesaplar oluşturmak" için kullanılabilecek bir botnet'e dönüştüren benzer bir finansal güdümlü hizmete ışık tuttu.
Bir Google sözcüsü yaptığı açıklamada, Android kullanıcılarının Google Play Hizmetleri'ne sahip cihazlarda varsayılan olarak etkinleştirilen Google Play Protect aracılığıyla bu kötü amaçlı yazılımın bilinen sürümlerine karşı otomatik olarak korunduğunu söyledi.
Zimperium, "Çalınan bu kimlik bilgileri, kimlik avı kampanyaları veya sosyal mühendislik saldırıları başlatmak için popüler hizmetlerde sahte hesaplar oluşturmak gibi daha fazla dolandırıcılık faaliyeti için bir sıçrama tahtası görevi görüyor" dedi.
Bulgular, aylık 950 milyondan fazla aktif kullanıcısı olan popüler bir anlık mesajlaşma uygulaması olan Telegram'ın, kötü amaçlı yazılım yayılımından C2'ye kadar farklı amaçlar için kötü niyetli aktörler tarafından kötüye kullanılmaya devam ettiğini vurguluyor.
Bu ayın başlarında Positive Technologies, tehdit aktörleri tarafından sürdürülen bir Telegram botuna mesaj göndermek amacıyla Bangladeş, Hindistan ve Endonezya'daki Android cihaz kullanıcılarını hedefleyen SMS Webpro ve NotifySmsStealer adlı iki SMS hırsızı ailesini açıkladı.
Rus siber güvenlik şirketi tarafından ayrıca TrueCaller ve ICICI Bank gibi görünen ve mesajlaşma platformu aracılığıyla kullanıcıların fotoğraflarını, cihaz bilgilerini ve bildirimlerini sızdırabilen hırsız kötü amaçlı yazılım türleri de tespit edildi.
Güvenlik araştırmacısı Varvara Akhapkina, "Enfeksiyon zinciri, WhatsApp'a yapılan tipik bir kimlik avı saldırısıyla başlıyor" dedi. "Birkaç istisna dışında, saldırgan, kullanıcıların kendilerinden uygulama indirmelerini sağlamak için banka gibi davranan kimlik avı sitelerini kullanıyor."
Telegram'ı bir C2 sunucusu olarak kullanan başka bir kötü amaçlı yazılım, yakın zamanda bir Linux varyantı içerecek şekilde güncellenen bir Windows uzaktan erişim truva atı olan TgRAT'tır. Dosyaları indirmek, ekran görüntüsü almak ve komutları uzaktan çalıştırmak için donatılmıştır.
Doctor Web, "Telegram, birçok şirkette kurumsal mesajlaşma uygulaması olarak yaygın bir şekilde kullanılıyor" dedi. "Bu nedenle, tehdit aktörlerinin bunu kötü amaçlı yazılım dağıtmak ve gizli bilgileri çalmak için bir vektör olarak kullanabilmesi şaşırtıcı değil: programın popülaritesi ve Telegram'ın sunucularına gelen rutin trafik, güvenliği ihlal edilmiş bir ağda kötü amaçlı yazılımları gizlemeyi kolaylaştırıyor."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı