Sahtekarlık mobil uygulamalar aracılığıyla önde gelen bir Hint bankasının müşterilerini hedefleyen yeni bir siber güvenlik tehdidi ortaya çıktı.
“Finstealer” olarak adlandırılan bu kötü amaçlı yazılım kampanyası, bankacılık kimlik bilgileri, kredi kartı detayları ve diğer kişisel olarak tanımlanabilir bilgiler (PII) dahil olmak üzere hassas finansal ve kişisel bilgileri çalmak için gelişmiş teknikler kullanır.
Kimlik avı bağlantıları ve gayri resmi uygulama mağazaları aracılığıyla dağıtılan kötü amaçlı yazılım, kullanıcıları verilerini ifşa etmek için kandırmak için meşru bankacılık uygulamalarını taklit eder.
Saldırı Mekanizmaları
Finstealer kötü amaçlı yazılım, güvenlik sistemlerini atlamak için en yeni kaçış tekniklerinden yararlanır.
Bunlar arasında komut ve kontrol (C2) sunucuları ile şifreli iletişim, dinamik yük yürütme ve çalışma zamanı davranışı değişiklikleri bulunur.
Ayrıca, operasyonel karmaşıklık ve veri açığa çıkması için XOR şifreleme ve telgraf botları kullanır.
Saldırganlar ayrıca C2 sunucularından ödün vermek için SQL enjeksiyonu (CVE-2011-2688) gibi güvenlik açıklarından yararlanarak sunucu şifreleri gibi kritik bilgilere yetkisiz erişim sağlıyor.
Bir kurbanın cihazına yüklendikten sonra, kötü amaçlı yazılım, SMS mesajlarına erişme izinleri ister ve bu da tek seferlik şifreleri (OTPS) ve diğer hassas iletişimleri kesmesini sağlar.
Bu özellik, saldırganların çok faktörlü kimlik doğrulama (MFA) mekanizmalarını atlayarak yetkisiz işlemleri ve kimlik hırsızlığını kolaylaştırmasına olanak tanır.
Kötü amaçlı yazılımların tespit edilmemiş kalma yeteneği, hem bireysel kullanıcılar hem de finansal kurumlar için önemli riskler oluşturmaktadır.
Etki ve tehdit manzarası
Finstealer kampanyasının arkasındaki temel neden, büyük ölçekli kimlik hırsızlığı, yetkisiz işlemler ve Darknet forumlarında çalınan verilerin satışı yoluyla finansal kazançtır.
Çalınan bilgiler, kara para aklama ve hesap sömürüsü de dahil olmak üzere daha geniş sahtekarlık operasyonları için de kullanılır.
Cyfirma araştırmacıları, banka uygulamasının sahte sürümlerini barındıran kötü amaçlı bir web sitesi ile kötü amaçlı yazılım ilişkisini belirlediler.
Bu site, kötü amaçlı yazılımları reklam veya indirme istemleri olarak gizlenen kimlik avı kampanyaları aracılığıyla dağıtır.
Kampanya, mobil bankacılık altyapısında, özellikle dijital finansal hizmetlerin yüksek evlat edinme oranlarına sahip bölgelerde güvenlik açıklarını ortaya çıkarmıştır.
Son zamanlarda Hint bankalarını hedefleyen benzer saldırılarda tehlikeye atılan yaklaşık 50.000 kullanıcı ile bu tehdidin ölçeği, siber güvenlik önlemlerinin artmasına acil ihtiyaç olduğunu vurgulamaktadır.
Bu tür sofistike tehditlere karşı koymak için uzmanlar çok katmanlı bir siber güvenlik yaklaşımı önerir:
- Kullanıcı Farkındalığı: Kullanıcıları resmi olmayan kaynaklardan uygulamaları indirme ve kimlik avı bağlantılarına tıklama riskleri konusunda eğitin.
- Gelişmiş Tehdit İzleme: İmza tabanlı yöntemlerin ötesinde anomalileri tespit edebilen davranış tabanlı uç nokta koruma sistemlerini dağıtın.
- Güvenlik Açığı Yaması: Hem mobil uygulamalarda hem de ilişkili sunucularda yazılımı ve yama bilinen güvenlik açıklarını düzenli olarak güncelleyin.
- Geliştirilmiş MFA: SMS tabanlı OTP’lerden biyometri veya donanım jetonları gibi daha güvenli kimlik doğrulama yöntemlerine geçiş.
- Proaktif Tehdit İstihbaratı: Üçüncü taraf platformlarda meşru bankacılık hizmetlerini taklit eden sahte uygulamaları izleyin.
Bu olay, mobil bankacılık kullanıcılarını hedefleyen siber saldırıların artan sofistike olduğunu hatırlatıyor.
Hem bireyler hem de kuruluşlar, Finstealer gibi gelişen tehditlere karşı hassas verileri korumak için sağlam güvenlik uygulamaları benimsemelidir.
Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free