Hem Android hem de iOS kullanıcılarını hedef alan yeni bir kimlik avı saldırısı türü keşfedildi. Bu saldırı, geleneksel sosyal mühendislik tekniklerini İlerici Web Uygulamaları (PWA’lar) ve WebAPK’ların kullanımıyla birleştirerek mobil kullanıcılar için önemli bir tehdit oluşturuyor.
Saldırı ilk olarak Kasım 2023’te tespit edildi ve o zamandan beri, öncelikli olarak Çek bankalarının müşterilerini hedef alan çok sayıda vaka bildirildi. Ancak, Macaristan ve Gürcistan’da da vakalar gözlemlendi ve bu da daha geniş bir kapsama işaret ediyor.
Saldırganlar, otomatik sesli aramalar, SMS mesajları ve sosyal medya kötü amaçlı reklamları da dahil olmak üzere çeşitli teslimat mekanizmaları kullanıyor. Genellikle bankanın resmi maskotu ve logolarını içeren kötü amaçlı reklamlar, kurbanları ikna edici sahte bir Google Play sayfasına yönlendiren bir kimlik avı bağlantısını ziyaret etmeye teşvik ediyor.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Sayfa, User-Agent HTTP başlığı aracılığıyla bir mobil istemcinin kullanımını kontrol ediyor ve eğer kurban bir mobil cihazdaysa, “Yükle” düğmesi, kurbanı bir açılır pencere aracılığıyla yüklemeye yönlendiriyor.
Kimlik avı uygulaması, birden fazla platform ve cihazda çalışmasına olanak tanıyan bir PWA veya WebAPK olarak yüklenir. PWA’lar esasen, menü çubuğundan veya ana ekrandan başlatılabilme özelliğine sahip, bağımsız bir uygulamaya paketlenmiş web siteleridir.
WebAPK’lar ise Chrome tarayıcısı tarafından yerel bir Android uygulaması olarak üretilen PWA’ların yükseltilmiş versiyonudur.
Yüklenen kimlik avı uygulaması, aynı logo ve tasarıma sahip gerçek bankacılık uygulamasından neredeyse ayırt edilemez. Uygulama açıldığında, kurbanların internet bankacılığı kimlik bilgilerini girmeleri istenen bir kimlik avı oturum açma sayfasına yönlendirir. Girilen bilgiler saldırganların Komuta ve Kontrol (C&C) sunucularına gönderilir.
Saldırganların kullandığı C&C altyapısı oldukça karmaşıktır ve kimlik avı kampanyalarını iki ayrı grup yürütmektedir. Bir grup, resmi Telegram API’si aracılığıyla girilen tüm bilgileri bir Telegram grup sohbetine kaydetmek için bir Telegram botu kullanırken, diğeri yönetim paneli olan geleneksel bir C&C sunucusunu kullanır.
Saldırganlar, birden fazla etki alanı kullanarak ve yeni kötü amaçlı kampanyalar hazırlayarak tespit edilmekten kaçınabildiler. ESET araştırmacılarına göre, C&C sunucularından bazıları devre dışı bırakıldı ve etkilenen bankalara bildirildi.
Kendinizi bu tür kimlik avı saldırılarından korumak için, özellikle hassas bilgiler isteyen yeni uygulamaları yüklerken dikkatli olmak önemlidir. Her zaman uygulamanın ve indirildiği web sitesinin gerçekliğini doğrulayın. Ayrıca, cihazınızı ve tarayıcınızı en son güvenlik yamalarıyla güncel tutun.
Bu yeni tür kimlik avı saldırısı, Android ve iOS için önemli bir tehdit oluşturuyorAndroid ve iOS kullanıcıları. Saldırganlar, geleneksel sosyal mühendislik tekniklerini PWA’lar ve WebAPK’ların kullanımıyla birleştirerek.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces