Apple ve Google Play Store’dan Giriş Kimlik Bilgilerini Çalan Sahte Ticaret Uygulamalarına Dikkat Edin

   Ekim 7, 2024  Posted in CyberSecurityNews


Apple ve Google Play Store'dan Giriş Kimlik Bilgilerini Çalan Sahte Ticaret Uygulamalarına Dikkat Edin

⁤Sahte ticaret uygulamaları, siber uzaydaki kullanıcılar için önemli bir tehdit olarak ortaya çıktı. Bu uygulamalar farklı “sosyal medya” ve “mesajlaşma platformlarındaki” kazançlı reklamlar aracılığıyla mağdurları hedef alıyor ve cezbediyor. ⁤

⁤Tüm bu dolandırıcılıklar gerçekte kullanıcılara yaptıkları yatırımlardan yüksek getiri vaat ederken, uygulamaları indirip paralarını yatıranlarda ‘büyük mali kayıplara’ yol açıyor. ⁤

DÖRT

Group-IB’deki siber güvenlik analistleri yakın zamanda Apple ve Google Play Store’daki oturum açma kimlik bilgilerini çalan sahte ticaret uygulamaları konusunda uyardı.

Hileli Ticaret Uygulamaları

Mayıs 2024’ten bu yana araştırmacılar, hem “Android” hem de “iOS” büyük platformlarında sahte ticaret uygulamalarını içeren karmaşık siber dolandırıcılık operasyonlarını tespit etti.

ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin

Bu uygulamaların “Vue.js” teknolojisine sahip “UniApp” adı verilen çapraz platform geliştirme çerçevesini kullandığı tespit edildi.

Bu uygulamalar “Google Play Store”, “Apple App Store” ve “kimlik avı web siteleri” aracılığıyla dağıtılmıştır.

Google Play Store ve Apple App Store’daki dolandırıcılık uygulaması (Kaynak – Grup-IB)

Tüm bunlar, tehdit aktörlerinin kurbanları sömürmek için “flört uygulamaları” ve “sosyal medya” platformları aracılığıyla sosyal mühendislik taktikleri kullandığı “domuz kasaplığı” olarak adlandırılan bir dolandırıcılığın parçası.

Teknik mimari, uygulama tabanlı ticaret için “WebSocket” bağlantılarını ve web tarayıcı erişimi için “HTTPS” bağlantılarını içerir.

Ancak uygulamaların kendisi web tabanlı içeriği görüntülemek için “HTML5 WebView”ı kullanır.

Apple’ın güvenlik kontrollerinden kaçınmak için iOS sürümü, kaçınma teknikleri (zamana dayalı tetikleyici) sunar ve yandan yüklenen sürümler için ayrıca “kurumsal sertifika güveninin etkinleştirilmesi” gerekir.

Program süreci (Kaynak – Grup-IB)

Kötü amaçlı uygulamalar, “matematiksel formül hesaplayıcılar”, “davet kodları gerektiren çok adımlı bir dolandırıcılık süreci uyguluyor”, “kimlik doğrulama (kimlik/pasaport yüklemeleri)” ve “kişisel bilgi toplama” kılığına giriyor.

Sahte ticaret terminali görüntüleniyor (Kaynak – Grup-IB)

Group-IB raporuna göre, geleneksel bankacılık truva atlarından (Şubat 2024’te keşfedilen GoldPickaxe) farklı olarak, bu uygulamalar açık kötü amaçlı kod içermiyor, daha ziyade karmaşık aldatmacalar olarak hizmet ediyor.

Bunu, meşru görünen yasal anlaşmalar için “TermsFeed”i kullanarak ve ‘İngilizce’, ‘Portekizce’, ‘Çince’ ve ‘Hintçe’ gibi birden çok dili destekleyerek yapıyorlar.

Bu, tehdit aktörlerinin para çekme işlemlerini engellemeden önce önemli miktarda para yatırmaları için “kurbanları manipüle etmelerine” olanak tanır.

Burada kötü amaçlı yazılım altyapısı “api.fxbrokers” ile birden fazla alan adı üzerinden işletiliyor[.]cc” birincil C2 sunucusu olarak hizmet veriyor.

Dikkate değer bir keşif, daha geniş kapsamlı “UOBE FX” dolandırıcılık kampanyasıyla bağlantılı olan “com.ubsarov.ubsarovfx” paketiydi.

Teknik mimari, tespit edilmekten kaçınmak için “web tabanlı arayüzler” kullandı. Tehdit aktörleri çok sayıda meşru ticaret platformunun (diğerlerinin yanı sıra FINANS INSIGHTS, Coinbase ve XTB) kimliğine büründü.

Dolandırıcılığın karmaşıklığı, sahte, meşru görünümlü bir ortam yaratan gerçek zamanlı hisse senediyle ilgili haberleri ve piyasa verilerini görüntüleme yeteneğinde yatmaktadır.

Kurbanların bu dolandırıcı platformlar üzerinden yatırım yapmasının ardından tehdit aktörleri, kullanıcıların fonlarını bloke etmek ve tuzağa düşürmek için “para çekme kısıtlamaları” uyguluyor.

Altyapı “altın-blockhain” gibi alanlara genişletildi[.]cc”, bu, “meşru finansal kurumları taklit etmek” için tasarlanmış dolandırıcılığın kapsamlı ağını ve karmaşık alan adı kayıt modellerini göstermektedir.

Öneriler

Aşağıda tüm önerilerden bahsettik: –

Finansal Kuruluşlar için:

  • Oturum izlemeyi kullanın.
  • Müşterileri mobil kötü amaçlı yazılımlar ve şifre güvenliği konusunda eğitin.
  • Logoları ve içeriği Dijital Risk Koruması ile koruyun.
  • Tehdit İstihbaratını kullanın.

Son Kullanıcılar için:

  • Mobil bağlantılara dikkat edin.
  • Yabancılardan gelen istenmeyen mesajlardan kaçının.
  • Taahhüt etmeden önce yatırım/iş platformlarını doğrulayın.
  • Uygulamaları yalnızca resmi kaynaklardan yükleyin.
  • Kişisel/finansal verilerinizi yabancılarla paylaşmayın.
  • Dolandırıcılık taktikleri konusunda güncel kalın.
  • Olağanüstü kazançlı anlaşmalara karşı dikkatli olun.

Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Web Semineri



Source link