Cyble Research and Intelligence Labs (CRIL) araştırmacıları, Hindistan Bölgesel Ulaştırma Ofisi’nden olduklarını iddia eden tehdit aktörlerinin, kimlik avı operasyonları için Hindistanlı WhatsApp kullanıcılarını hedef aldığı yeni bir kampanya gözlemledi.
Kampanya, son kampanyalarda kimlik avı mesajları göndermek için SMS yerine WhatsApp kullanılması gibi önceki taktiklerden bir değişimi işaret ediyor. Bu değişim, odak noktasında bankacılık müşterilerinden hükümet kurumları ve kamu hizmetleri şirketlerini hedeflemeye doğru bir değişimi içeriyor.
Bölgesel Ulaştırma Ofisi (RTO) WhatsApp Kimlik Avı Dolandırıcılığı
Araştırmacılar, 2024’ün başından bu yana Hindistan vatandaşlarının, Hindistan’da araç tescili, sürücü belgesi ve diğer ulaşımla ilgili konulardan sorumlu bir hükümet kuruluşu olan Bölgesel Ulaştırma Ofisi’ni (RTO) veya yaygın olarak Vahan Parivahan olarak bilinen kurumu taklit eden WhatsApp’ta kimlik avı mesajları aldıklarının gözlemlendiğini söyledi.
Hedefler, araçlarının trafik kurallarını ihlal ettiğini iddia eden çeşitli WhatsApp mesajları aldılar. Mesajlarda, resmi tebligatları veya “challan”ı (devlet tarafından tanınan belge veya makbuz) görüntülemek için tasarlanmış olduğu iddia edilen “VAHAN PARIVAHAN” adlı bir uygulamanın indirme bağlantısı da yer alıyordu.
Bu kimlik avı mesajlarında, daha fazla gizlilik sağlamak ve potansiyel kurbanları ekteki kötü amaçlı yazılım .APK uygulama dosyasını indirmeye çekmek için WhatsApp profil resimlerinde meşru bölgesel RTO logoları kullanılıyordu.
Uygulama yüklendikten sonra SMS mesajlarına ve kişilere erişim izni ister. Arka planda çalışır, cihaz bilgilerini toplar ve bunları bir Telegram botu aracılığıyla saldırganlara gönderir.
Kötü amaçlı yazılım daha sonra ek telefon numarası ve kısa mesaj listelerini almak için bir Firebase URL’sine bağlanmak üzere bir hizmet başlatır. Bu hizmet, enfekte cihazlardan Firebase sunucusunda belirtilen telefon numaralarına SMS mesajları göndermek için kullanılır.
Cyble araştırmacıları daha önce, büyük Hint bankalarının müşterilerini hedef almak için, büyük Hint bankalarını temsil ediyormuş gibi görünen, hatta resmi bankacılık uygulamalarıyla benzer isimler, simgeler ve kullanıcı arayüzleri taşıyan kötü amaçlı banka uygulamalarının kullanıldığına dair dikkat çekici bir kampanyanın kullanıldığını fark etmişti.
Daha önceki saldırıda kullanılan kötü amaçlı yazılım, kurbanlardan bankacılık bilgileri, kredi kartı bilgileri, kişisel bilgiler (PII) ve e-posta kimlik bilgilerini toplamak için kullanılmıştı.
Araştırmacılar Kötü Amaçlı Yazılım Kampanyalarında İlerlemeler Gözlemliyor
Araştırmacılar, tehdit aktörlerinin başlatıcı faaliyetlerine dayanmayan gelişmiş kötü amaçlı yazılım türlerini dağıttıklarının gözlemlendiğini belirtti. Son kampanyadan gelen manifest dosyasının incelenmesi, başlatıcı faaliyetinin olmadığını, bu da enfekte cihazların uygulama çekmecesinde bir uygulama simgesinin görünmesini engellediğini ve kurbanların kötü amaçlı yazılımı tespit edip kaldırmasını zorlaştırdığını ortaya koyuyor.
RTO dolandırıcılığı, bu tür kampanyalar arasında daha geniş çaplı değişiklikleri yansıtıyor ve şu şekilde işaretleniyor:
- Kimlik avı mesajlarının dağıtımında SMS yerine WhatsApp’a geçiş yapın.
- Bankacılık hedeflerinin ötesine odaklanın ve meşru kamu hizmetleri faturalarının ve hükümet planlarının/otoritelerinin taklit edilmesine odaklanın.
- Kampanyalarda Malware-as-a-Service (MaaS) kullanımı.
- Tespit edilmekten kaçınmak için fırlatıcı aktivitelerini devre dışı bırakmak gibi ek gizli taktikler.
Araştırmacılar, potansiyel Uzlaşma Göstergelerinin (UG) paylaşılması ve kampanyanın MITRE kategorileri altında sınıflandırılmasının yanı sıra, kampanyaya karşı korunmak için bazı öneriler sıraladılar:
- Yazılımları yalnızca Google Play Store veya iOS App Store gibi meşru resmi kaynaklardan indirin.
- İndirilen yazılım paketlerinin internete bağlı cihazlarda (PC’ler, dizüstü bilgisayarlar ve mobil cihazlar) taranması için yetenekli antivirüs ve internet güvenliği araçlarının kullanılması.
- Mümkün olduğunca daha güçlü parolalar ve çok faktörlü kimlik doğrulaması kullanın.
- Cihazların güvenliğini sağlamak için parmak izi veya yüz tanıma gibi biyometrik güvenlik işlevlerinin kullanılması.
- SMS veya e-posta yoluyla gelen bağlantılara karşı dikkatli olun.
- Android cihazlarda Google Play Protect’i etkinleştirin.
- İndirilen uygulamalara verilen izinlere dikkat edin.
- Cihazlarınızı, işletim sistemlerinizi ve uygulamalarınızı düzenli olarak güncelleyin.
Araştırmacılar ayrıca, kampanya kapsamındaki diğer saldırılarda da gözlemlendiği gibi, alınan dijital ödeme (Birleşik Ödeme Arayüzü) doğrulama mesajlarının, ödeme sistemlerini tehlikeye atmak amacıyla saldırganların çalıştırdığı cihazlara gizlice aktarılma olasılığına da dikkat çekti.
