Araştırmacılar, hem açık hem de karanlık web korsanlığı forumlarını analiz ettiler ve Rus dili tehdit aktörlerinin bu açıkları alıp satmaya özellikle ilgi duyduklarını keşfettiler.
Google Play uygulama mağazasının güvenlik mekanizmaları, Android uygulamalarını truva atı haline getirmek ve bunları yer altı siber suç pazarlarında satmak için araçlar geliştiren siber suçlular tarafından ele geçiriliyor.
Siber güvenlik firması Kaspersky’nin 10 Nisan 2023’te yayınlanan yakın tarihli bir blog gönderisi, Clear Net ve Dark Web forumları üzerine yapılan kapsamlı bir araştırmanın bulgularını ortaya koyarak uygulama mağazası güvenliğindeki güvenlik açıklarını vurguladı – Bu forumların çoğu Rusça konuşuyor.
Blog gönderisinde, Google veya Apple uygulama mağazalarına yüklenen yazılımlar için inceleme sürecine rağmen, hiçbir güvenlik çözümünün %100 kusursuz kabul edilemeyeceği belirtildi. Her tarama mekanizmasının, tehdit aktörleri tarafından istismar edilebilecek ve Google Play’e kötü amaçlı yazılım yüklemelerine olanak tanıyan kendi kusurları vardır.
Kaspersky’deki araştırmacılar, 2019 ile 2023 arasındaki faaliyetleri izlediler ve Dark Web’de uygulama geliştirici hesaplarına, virüslü Android uygulamalarına ve botnet’lere birkaç yüz ila birkaç bin dolar arasında değişen fiyatlarla erişim alışverişinde bulunan alıcılar ve satıcılar için gelişen bir pazar buldular.
Saldırganların uygulamalara kötü amaçlı yazılım bulaştırmak için kullandığı yöntemlerden biri, onay almak ve çok sayıda kullanıcıyı çekmek için uygulama mağazasına zararsız bir uygulama yüklemektir. Uygulama onaylandıktan sonra, saldırganlar uygulamada kötü amaçlı kod içeren bir güncelleme yayınlar.
Başka bir yöntem de meşru uygulama geliştiricilerinin hesaplarını ele geçirerek ve mevcut uygulamalara kötü amaçlı yazılım bulaştırarak tehlikeye atmaktır. Zayıf parola politikaları ve iki faktörlü kimlik doğrulamanın (2FA) olmaması, bu hesapları siber suçlular için kolay hedefler haline getiriyor.
Kimlik bilgisi sızıntıları, hesapları ve kurumsal geliştirme sistemlerini ihlal etmek için oturum açma ayrıntılarını elde etmek için de kullanılır. Kaspersky araştırmacıları, bir Google Play hesabına erişimin 60 ABD Doları gibi düşük bir fiyata satın alınabileceğini, daha kazançlı hesapların, hizmetlerin veya araçların ise daha yüksek bir fiyat etiketiyle sunulduğunu keşfetti.
Android uygulamalarına kötü amaçlı kod yerleştiren yükleyiciler, yeteneklerine ve karmaşıklığına bağlı olarak 5.000 ila 20.000 ABD Doları arasında değişen fiyatlarla Dark Web pazarında özellikle aranan ürünlerdir.
Satıcılar, alıcıları çekmek için genellikle kullanıcı dostu kullanıcı arabirimi, kurban ülke filtreleri, kullanımı kolay kontrol panelleri ve en son Android işletim sistemiyle uyumluluk gibi özellikleri vurgular. Bazı satıcılar, ürünleri için video eğitimleri bile sunar.
Blog gönderisi ayrıca, siber suçluların truva atı bulaşmış uygulamalara hata ayıklayıcıları veya korumalı alan ortamlarını algılama işlevi ekleyebileceğini de ortaya çıkardı. Şüpheli bir ortam algılanırsa yükleyici, güvenlik müfettişleri tarafından büyük olasılıkla keşfedildiğini belirterek faaliyetlerini durdurabilir veya siber suçluya bildirimde bulunabilir.
Yükleyicilere ek olarak, Dark Web forumlarında sunulan diğer yasa dışı hizmetler arasında trafiği yeniden yönlendirmek veya güvenliği ihlal edilmiş cihazları kontrol etmek için 300 ABD Dolarından başlayan fiyatlarla Sanal Özel Sunucular ve 25 ila 80 ABD Doları arasında değişen web enjektörleri yer alır. Siber suçlular ayrıca kötü amaçlı yazılımlarını 440 ABD dolarına gizleyebilirken, tek bir dosyayı işlemenin maliyeti yaklaşık 30 ABD dolarıdır.
Kaspersky, Google Play’in platformunda kötü niyetli uygulamaların satışına izin vermemesine rağmen, kurumsal güvenlikteki boşluklar ve yenilikçi bilgisayar korsanlığı yöntemleri nedeniyle uygulama devralmalarının ve resmi mağazalardaki virüslü uygulamaların hâlâ mevcut olduğunu vurguladı.
Bu nedenle, kullanıcıların bilinmeyen uygulamaları yüklemekten kaçınmaları ve uygulamaların yalnızca gerekli işlevlere erişmesini sağlamak için izinleri kontrol etmeleri önerilir.
Dark Web’de kötü amaçlı uygulamalar satmak için Google Play uygulama mağazası güvenliğindeki kusurlardan yararlanan siber suçluların artan eğilimi, güvenlik tarayıcıları ve saldırganlar arasında süregelen “kedi fare oyununun” altını çiziyor.
Güvenlik açıklarını düzeltme çabalarına rağmen, saldırganlar uygulama mağazalarını ve kullanıcıları kötü amaçlı yazılım tehditlerinden korumak için sürekli tetikte olma ve güçlü güvenlik önlemleri alma ihtiyacının altını çizen yeni kusurlar bulmaya devam ediyor.
ALAKALI HABERLER
- Dark Web’de Bitcoin ATM Kötü Amaçlı Yazılımı satan bilgisayar korsanları
- Hack araçları ve kimlik avı sayfaları dark web’de 2 dolara satıldı
- Discord’da Genç “Hackerlar” Hızlı Nakit Karşılığında Kötü Amaçlı Yazılım Satıyor
- Amazon, Önceden Yüklenmiş Kötü Amaçlı Yazılım İçeren T95 TV Kutusunu Hala Satıyor
- Dolandırıcılık ve bilgisayar korsanlığı kılavuzları, dark web’de en çok satılan öğedir