Bilgisayar korsanları son zamanlarda, yerleşik SMS işlevlerini hain amaçlar için eşleştirmeleri için belirli hücresel yönlendiricilerin web tabanlı yönetim arayüzlerinde bir güvenlik açığından yararlandı.
Saldırganlar, maruz kalan API’leri hedefleyerek, sürüş indirmeleri veya kimlik bilgisi çalma sayfalarına yol açan silahlı bağlantılar içeren büyük miktarlarda kötü niyetli SMS mesajı gönderebilirler.
Bu ortaya çıkan tehdit vektörü, aksi takdirde meşru ağ ekipmanlarından yararlanır, yönlendiricileri kitle kimlik avı kampanyaları ve kötü amaçlı yazılım dağıtımı için farkında olmayan vekillere dönüştürür.
Mağdurlar, güvenlik uyarıları veya teslimat bildirimleri olduğu iddia edilen SMS metinleri alır, ancak gömülü URL’yi tıklamak, cihaz güvenlik açıklarının sessiz sömürülmesini tetikler veya sosyal mühendislik tuzaklarını başlatır.
Ağustos ve Eylül 2025 boyunca, birden fazla güvenlik operasyon merkezi, SMS trafiğinde hücresel ağlar yerine konut ve işletme yönlendiricilerinden kaynaklanan olağandışı ani artışları kaydetti.
Sekoia araştırmacıları, tehdit aktörlerinin, özellikle TR-064 veya özel HTTP tabanlı SMS arayüzleri kullanan modellerde, satıcı API’larını ortaya çıkaran uç noktalar için sistematik olarak taradığını belirlediler.
Keşfedildikten sonra, bu arayüzler, yönlendiriciye yüklenen SIM kart aracılığıyla keyfi SMS mesajları göndermesine kimlik doğrulanmamış veya zayıf kimlik doğrulamalı komutlara izin verir.
Etkilenen yönlendiriciler üreticiye göre değişse de, ortaklıklar, API oranını sınırlayan veya giriş doğrulamasından yoksun olan değişmemiş ve modası geçmiş ürün yazılımı gibi varsayılan kimlik bilgilerini içerir.
Bu tekniğin hızlı çoğalması kritik bir kör noktayı vurgular: Ağ yöneticileri, yönlendiricilerdeki SMS günlüklerini nadiren ağ trafiği veya güvenlik duvarı etkinlikleri kadar titiz bir şekilde izler.
Sonuç olarak, büyük ölçekli kampanyalar haftalarca fark edilmedi, bu da saldırganların mesajlaşma şablonlarını geliştirmelerine ve tespitten kaçınmasına izin verdi.
İlk cazibe mesajları Masquerade, iki faktörlü kimlik doğrulama istekleri veya acil hesap kurtarma bildirimleri olarak, SMS kanallarında kullanıcı güvenini kullanır. Sonraki kampanyalar, hasat edilen verilere dayalı, tıklama oranlarını artıran ve aşağı yönlü uzlaşmaya dayalı daha hedeflenen yemlere döner.
Hemen kimlik belgesi hırsızlığı riskinin ötesinde, başarılı sömürü yerel ağlara dönen ikincil yükler sağlayabilir.
Bir kurban silahlandırılmış bağlantıyı tıkladığında, bir sürücüden istismar zinciri, kullanıcının cihazına bir arka kapı kullanabilir ve saldırganlara sürekli erişim sağlayabilir.
.webp)
Kurumsal ortamlarda, bu izinsiz giriş, yanal hareketi, veri sızdırmasını veya ek cihazların SMS-spam ağına kaydolmasını kolaylaştırabilir-bu operasyonların arkasındaki tehdit aktörleri için hem keşif hem de para kazanma fırsatlarını belirleyebilir.
Enfeksiyon mekanizması
Bu kampanyanın merkezinde, yönlendiricinin SMS API uç noktasının kötüye kullanılması yatıyor. Saldırganlar, kabuk düzeyinde veya web-sunucu erişimi elde etmek için ilk önce varsayılan yönetimsel kimlik bilgilerini veya numaralandırır.
Geçerli erişimle, meşru SMS satma komutlarını taklit eden HTTP istekleri verirler. Bu etkileşimin en basit şekli, kıvrılmış bir snippet ile gösterilebilir:-
curl - X POST http://192.168.1.1/api/sms/send \
- H "Content-Type: application/json" \
- d '{
"username":"admin",
"password":"admin123",
"destination":"+15551234567",
"message":"Your account requires immediate verification: http://bit.ly/verify-now"
}'Etkilenen birçok cihazda API, güçlü giriş dezenfekte edilmesini zorlayarak, saldırganların mesaj yüküne HTML veya JavaScript enjekte etmesine izin verir.
Bu, tarayıcı uyarıları olmadan tıklamada otomatik olarak yürütülen silahlandırılmış bağlantılar gibi daha sofistike saldırılar sağlar.
Ayrıca, SMS API’si genellikle durum kodlarını ve teslimat raporlarını ortaya çıkarır ve saldırganların kampanya başarısını ölçmek ve hedeflemeyi optimize etmek için kullandıkları geri bildirim sağlar.
Bu işlemleri ölçekte otomatikleştirmek için, tehdit aktörleri tehlikeye atılan yönlendiricileri dağıtılmış SMS spam botlarına dönüştürdü.
Özel komut dosyaları alıcı listeleri boyunca döngüye geçer, gönderen kimliklerini randomize edin ve mesaj şablonlarını döndürür. Bazı varyantlar, kötü amaçlı URL’leri dinamik olarak güncellemek için halka açık macun siteleriyle entegre olur ve URL filtreleme çözümleriyle statik algılamadan kaçar.
Bu enfeksiyon mekanizmasını anlayarak, savunucular ortamlarını sertleştirebilir: güçlü yönetim bilgilerini uygular, kullanılmayan SMS arayüzlerini devre dışı bırakır ve uygun kimlik doğrulama ve hız sınırlama kontrollerini içeren ürün yazılımı güncellemelerini uygulayın.
Bu önlemler, proaktif SMS-trafik izleme ile birleştiğinde, bu gizli ve etkili tehdidin hızlı büyümesini bozabilir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
