Android cihazlarda Yakın Alan İletişimi teknolojisini kullanan karmaşık bir kötü amaçlı yazılım kampanyası, Nisan 2024’te ortaya çıkışından bu yana önemli ölçüde genişledi.
Münferit olaylar olarak başlayan olay, yaygın bir tehdide dönüştü ve şu anda 760’ın üzerinde kötü amaçlı uygulama ortalıkta dolaşıyor.
Bu kötü amaçlı uygulamalar, ödeme verilerini yasadışı bir şekilde yakalamak ve sahte işlemleri kolaylaştırmak için NFC ve Ana Kart Emülasyonu yeteneklerini kötüye kullanıyor.
Kampanya coğrafi ayak izini başlangıçtaki hedeflerin ötesine genişleterek artık Rusya, Polonya, Çek Cumhuriyeti, Slovakya ve Brezilya’daki kullanıcıları etkiliyor.
Kötü amaçlı yazılım, meşru finansal kurum uygulamaları gibi görünerek, kullanıcıları güvenilir bankaları ve devlet kurumlarını temsil ediyor gibi görünen uygulamaları yüklemeleri için kandırarak çalışır.
Bu uygulamalar yüklendikten sonra kurbanlardan bunları cihazlarında varsayılan NFC ödeme yöntemi olarak belirlemelerini istiyor.
Kötü amaçlı yazılım daha sonra dokun-öde işlemleri sırasında ödeme kartı verilerini sessizce ele geçirerek kart numaraları, son kullanma tarihleri ve EMV alanları gibi hassas bilgileri özel Telegram kanalları aracılığıyla tehdit aktörlerine sızdırıyor.
Zimperium analistleri, bu operasyonları destekleyen genişleyen bir altyapı tespit ederek 70’in üzerinde komuta ve kontrol sunucusunu, koordinasyon için kullanılan düzinelerce Telegram botunu ve yaklaşık 20 kimliğine bürünülmüş kurumu ortaya çıkardı.
Hedeflenen kuruluşlar arasında VTB, Tinkoff ve Promsvyazbank gibi büyük Rus bankalarının yanı sıra Santander, Bradesco, PKO Bank Polski gibi uluslararası kuruluşlar ve Rusya’nın Gosuslugi hizmeti de dahil olmak üzere hükümet portalları yer alıyor.
Kötü amaçlı yazılımın operasyonel yöntemleri farklılık gösteriyor; bazı varyantlar sonraki POS satın alımları için kart verilerini çıkaran tarayıcı araçları olarak işlev görürken, diğerleri çalınan kimlik bilgilerini doğrudan saldırganın kontrolündeki kanallara sızdırıyor.
İletişim Mimarisi ve Komuta Yapısı
Kötü amaçlı uygulamalar, WebSocket iletişimleri aracılığıyla komut ve kontrol sunucularıyla kalıcı bağlantılar kurarak gerçek zamanlı çift yönlü alışverişlere olanak tanır.
Uygulamalar aşağıdaki gibi komutları yürütür: register_devicedonanım tanımlayıcılarını, cihaz modellerini, NFC destek durumunu ve IP adreslerini sunucuya ileten.
.webp)
apdu_command Talimat, ödeme terminali isteklerini C2 altyapısına iletirken, apdu_response işlem akışlarını yönlendiren hazırlanmış yanıtlar döndürür.
Gibi ek komutlar card_info Ve get_pin Tehdit aktörlerinin, Telegram entegrasyonları aracılığıyla tüm kart ayrıntılarını içeren otomatik bildirimler almasıyla, tüm ödeme bilgilerinin alınmasını kolaylaştırın. telegram_notification emretmek.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
