Olarak bilinen bir Android sesli kimlik avı (aka vishing) kötü amaçlı yazılım kampanyası Sahte Aramalar 20’den fazla popüler finansal uygulama kisvesi altında Güney Koreli kullanıcıları hedeflemek için bir kez daha başını kaldırdı.
Siber güvenlik firması Check Point, “FakeCalls kötü amaçlı yazılımı, yalnızca birincil amacını gerçekleştirmekle kalmayıp aynı zamanda kurbanın cihazından özel verileri de çıkarabilen bir İsviçre çakısı işlevine sahip.” Dedi.
FakeCalls, daha önce Kaspersky tarafından Nisan 2022’de belgelenmiş ve kötü amaçlı yazılımın bir banka müşteri destek temsilcisiyle yapılan telefon görüşmelerini taklit etme yeteneklerini açıklamıştı.
Gözlemlenen saldırılarda, hileli bankacılık uygulamasını yükleyen kullanıcılar, sahte bir düşük faizli kredi sunarak finans kuruluşunu aramaya ikna ediliyor.
Telefon görüşmesinin gerçekleştiği noktada, gerçek bankadan gelen talimatları içeren önceden kaydedilmiş bir ses çalınır. Aynı zamanda kötü amaçlı yazılım, diğer uçta gerçek bir banka çalışanıyla bir konuşma yapılıyormuş izlenimi vermek için telefon numarasını bankanın gerçek numarasıyla birlikte gizler.
Tehdit aktörlerinin iddia ettiği mağdurun kredi kartı bilgilerini almak için yürütülen kampanyanın nihai hedefi, var olmayan krediye hak kazanmak için gerekli.
Kötü amaçlı uygulama ayrıca, güvenliği ihlal edilmiş cihazdan canlı ses ve video akışları dahil olmak üzere hassas verileri toplamak ve daha sonra uzak bir sunucuya sızdırmak için müdahaleci izinler ister.
En son FakeCalls örnekleri, radarın altında kalmak için çeşitli teknikler uygular. Yöntemlerden biri, dosya adının ve yolunun uzunluğunun 300 karakter sınırını aşmasına neden olarak APK’nın varlık klasörüne iç içe geçmiş dizinlerin içindeki çok sayıda dosyayı eklemeyi içerir.
Check Point, “Kötü amaçlı yazılım geliştiricileri, birkaç benzersiz ve etkili anti-analiz tekniği uygulamanın yanı sıra, yaratımlarının teknik yönlerine özel bir özen gösterdiler” dedi. “Ayrıca, operasyonların arkasındaki komuta ve kontrol sunucularının gizli çözümlenmesi için mekanizmalar tasarladılar.”
Saldırı yalnızca Güney Kore’ye odaklanırken, siber güvenlik şirketi aynı taktiklerin dünyadaki diğer bölgeleri hedef almak için yeniden tasarlanabileceği konusunda uyardı.
Bulgular, Cyble’ın Nexus ve GoatRAT adlı, değerli verileri toplayabilen ve mali dolandırıcılık yapabilen iki Android bankacılık truva atına ışık tutmasıyla da geldi.
SOVA’nın yeniden markalandırılmış bir sürümü olan Nexus, ayrıca depolanan dosyaları şifreleyen ve kripto para birimi cüzdanlarından tohum cümleleri çıkarmak için Android’in erişilebilirlik hizmetlerini kötüye kullanabilen bir fidye yazılımı modülü içerir.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Buna karşılık GoatRAT, Brezilya bankalarını hedeflemek üzere tasarlandı ve etkinliği gizlemek için sahte bir yer paylaşımı penceresi görüntülerken PIX ödeme platformu üzerinden sahte para transferi yapmak için BrasDex ve PixPirate gibi şirketlere katıldı.
Bu gelişme, tehdit aktörlerinin virüs bulaşmış cihazlarda tüm yetkisiz para transferleri sürecini otomatikleştirmek için giderek daha karmaşık bankacılık kötü amaçlı yazılımlarını serbest bıraktığı büyüyen bir eğilimin parçası.
Siber güvenlik şirketi Kaspersky, 2022’de 196.476 yeni mobil bankacılık truva atı ve 10.543 yeni mobil fidye yazılımı truva atı tespit ettiğini söyledi.
İspanya, Suudi Arabistan, Avustralya, Türkiye, Çin, İsviçre, Japonya, Kolombiya, İtalya ve Hindistan, mobil finansal tehditlerin en çok etkilediği ülkeler listesinin başında geliyor.
Kaspersky araştırmacısı Tatyana Shishkova, “Genel olarak kötü amaçlı yazılım yükleyicilerindeki düşüşe rağmen, mobil bankacılık Truva atlarının devam eden büyümesi, siber suçluların mali kazanca odaklandığının açık bir göstergesidir.” dedi.