Human Security, arka kapılı marka dışı mobil ve CTV Android cihazlarını içeren bir dizi karmaşık siber suç operasyonunun önemli bir para kazanma mekanizmasının bozulduğunu duyurdu.
Şirketin Satori Tehdit İstihbaratı ve Araştırma Ekibi, enfeksiyon belirtileri gösteren 74.000’den fazla Android tabanlı cep telefonu, tablet ve CTV kutusunu gözlemledi.
Badbox ve Peachpit
Araştırmacılar tarafından Badbox olarak adlandırılan bu düzen, ilk olarak 2016 yılında ortaya çıkarılan Triada kötü amaçlı yazılımını CTV kutuları, akıllı telefonlar ve Android çalıştıran tabletler gibi fiziksel cihazlarda bir “arka kapı” olarak kullanıyor.
Araştırmacılar tarafından analiz edilen marka dışı, Badbox bulaşmış cihazlar (Kaynak: İnsan)
Kötü amaçlı yazılım, Çin’deki tedarik zinciri sürecinde, cihazlar paketlenip gönderilmeden önce yükleniyor.
Badbox bulaşmış cihazlar, kişisel olarak tanımlanabilir bilgileri çalabilir, yerleşik proxy çıkış eşleri oluşturabilir, tek kullanımlık şifreleri çalabilir, sahte mesajlaşma (WhatsApp) ve e-posta (Gmail) hesapları oluşturabilir ve diğer benzersiz dolandırıcılık planlarını gerçekleştirebilir.
Kasım 2022’de Human’ın araştırmacıları, reklamverenleri ve reklam teknolojisi ekosistemini dolandırmak için Badbox’ın, reklamları kullanıcıların göremeyeceği yerlere gizleyen ve bu reklamlara tıklama sahteciliği yapan bir “reklam sahtekarlığı modülünü” ortaya çıkardı.
Satori ekibi, Badbox reklam dolandırıcılığı modülüne ek olarak, arka kapılı Badbox cihazlarından bağımsız olarak benzer dolandırıcılık yapan bir grup Android, iOS ve CTV uygulamasını da buldu. Peachpit adı verilen bu uygulamalar, günde ortalama dört milyar reklam isteğine karşılık geliyordu.
Dolandırıcılık planlarını sekteye uğratmak
Human’ın CISO’su Gavin Reid, “Badbox şeması inanılmaz derecede karmaşık bir operasyon ve suçluların, güvenilir e-ticaret platformlarından ve perakendecilerden cihaz satın alan şüphelenmeyen tüketicilere yönelik planlarını güçlendirmek için dağıtılmış tedarik zincirlerini nasıl kullandıklarını gösteriyor” dedi.
“Bu arka kapı operasyonu aldatıcı ve tehlikeli çünkü kullanıcıların cihazlarının ele geçirilip geçirilmediğini anlaması neredeyse imkansız. Human’ın çevrimiçi perakendecilerden satın aldığı cihazların yüzde 80’ine Badbox bulaştı, bu da bunların piyasada ne kadar geniş çapta dolaştığını gösteriyor.”
Human Security, Peachpit operasyonunu aksatmak için Google ve Apple ile birlikte çalıştı. Human ayrıca, Peachpit operasyonundan sorumlu olduğuna inanılan kuruluşlar ve bireysel tehdit aktörleri hakkında bilgiler de dahil olmak üzere, Badbox bulaşmış bazı cihazların kolluk kuvvetleriyle oluşturulduğu tesisler hakkındaki bilgileri de paylaştı.
Ne yapabilirsin?
Zirvede, Peachpit ile ilişkili uygulamalar 227 ülke ve bölgede 121.000 Android cihazda ve 159.000 iOS cihazında göründü. Plandan etkilenen 39 Android, iOS ve CTV merkezli uygulamadan oluşan koleksiyon, uygulamalar kaldırılmadan önce 15 milyondan fazla kez yüklendi.
Hiçbir iOS cihazı Badbox arka kapısından etkilenmedi; yalnızca kötü amaçlı uygulamalar aracılığıyla yapılan Peachpit reklam dolandırıcılığı saldırısı tarafından hedef alındılar. Virüs bulaştığı tespit edilen marka dışı cihazlar Play Koruma sertifikalı Android cihazlar değildi.
Ne yazık ki, Badbox bulaşmış cihazlar, arka kapıyı dağıtmak için kullanılan kötü amaçlı yazılımın ilk kez başlatıldığında bir komut ve kontrol sunucusuna bağlanması nedeniyle ortalama bir kullanıcı tarafından temelde düzeltilemez. Cihazı fabrika varsayılanlarına geri yüklemek yardımcı olmayacaktır.
Human’ın yayınladığı rapor, kötü amaçlı Android ve iOS Peachpit uygulama paketlerini listeliyor. Bunlardan bir veya daha fazlasını yüklemiş olan kullanıcıların bunları kaldırmaları önerilir.
“Peachpit bozuldu, Badbox’ın diğer bileşenleri ise hareketsiz durumda. Araştırmacılar, Badbox kampanyasıyla ilişkili C2’lerin birçoğunun (muhtemelen hepsinin) tehdit aktörleri tarafından ele geçirildiğini söyledi.
“Ancak bu ‘bitti’ olarak yorumlanmamalı; Satori ekibi, Badbox’ın arkasındaki tehdit aktörlerinin ileriye dönük yeni bir yol bulmak için planlarını yeniden yapılandırdığına inanıyor.