Google Play Store aracılığıyla dağıtılan 20’den fazla kötü niyetli uygulamayı içeren, özellikle şüphesiz kullanıcılardan kripto para birimi cüzdan kimlik bilgilerini çalmak için tasarlanmış gelişmiş bir kimlik avı işlemi.
Cyble Research and Intelligence Labs (CRIL) tarafından yapılan keşif, Sushiswap, Packagewap, Hyperliquid ve Raydium gibi popüler kripto para birimi platformlarını hedefleyen koordineli bir kampanya ortaya koyuyor.
Meyveden Geri Tahmin Edilen Geliştirici Hesapları
Kötü niyetli uygulamalar, daha önce meşru oyun, video indirici ve canlı akış uygulamalarını barındıran tehlikeye atılmış geliştirici hesaplarını kullanarak meşru kripto para birimi cüzdanlarını ve borsaları taklit eder.
.png
)
Bu hesaplardan bazıları, kötü niyetli etkinlikler için yeniden tasarlanmadan, hileli uygulamalara güvenilirlik vermeden ve algılamayı kullanıcılar için daha zor hale getirmeden önce 100.000’den fazla indirme biriktirmişti.
Tehdit aktörleri, komuta ve kontrol (C&C) URL’lerini gizlilik politikalarına dahil etmek ve benzer paket adlandırma modellerini kullanma da dahil olmak üzere kampanyaları boyunca tutarlı teknikler kullandılar.
Bu benzerliklere rağmen, uygulamalar algılamayı önlemek için farklı geliştirici hesapları altında dağıtılmıştır.
Kötü niyetli uygulamalar, Co.Median.android desenini takiben paket adlarını kullandı.[random string]sahte bir gözleme takası uygulaması için co.median.android.pkmxaj ve sahte bir Suiet cüzdanı için co.median.android.ljqjry gibi.
Analiz, siber suçlular tarafından kullanılan iki temel saldırı metodolojisini ortaya çıkarmıştır. İlk tip, Hxxps: // Pancakeefentfloyd gibi URL’ler içeren yapılandırma dosyalarıyla kimlik avı web sitelerini Android uygulamalarına hızla dönüştürmek için medyan çerçeveden yararlandı.[.]CZ/API.php.
Bu URL’ler, WebView bileşenlerine kimlik avı arayüzleri yükler ve kullanıcıların hileli cüzdan arayüzlerine erişmek için 12 kelimelik anımsatıcı ifadelerini girmelerini ister.
İkinci yaklaşım, Hxxps: // piwalletblog gibi kötü amaçlı yazılım açma URL’leri ile geliştirme çerçeveleri kullanmadan kimlik avı web sitelerini WebView’a doğrudan yüklemeyi içeren ikinci yaklaşım[.]Raydium cüzdan gibi meşru hizmetleri taklit etmek için blog.
Altyapı ile ilgili soruşturma, tek bir IP adresinin (94.156.177[.]209) bu geniş kampanyaya bağlı 50’den fazla kimlik avı alanına ev sahipliği yapıyor.
Tehdit aktörleri, PancakeFentfloyd dahil olmak üzere kapsamlı bir hileli alan ağı oluşturdu[.]CZ, SuietSiz[.]CZ, Hyperliqw[.]SBS, Raydifloyd[.]CZ ve Bullxni[.]SBS, diğerleri arasında.
Bu merkezi altyapı, tespit olasılığını en aza indirirken erişimi en üst düzeye çıkarmak için tasarlanmış iyi koordine edilmiş bir işlemi gösterir.
Yüksek finansal etki
Kampanya, kripto para birimi kullanıcıları için ciddi finansal riskler oluşturmaktadır, çünkü başarılı saldırılar geri dönüşü olmayan kayıplara neden olabilir, çünkü kripto para birimi işlemleri geleneksel bankacılık işlemleri gibi kolayca tersine çevrilemez.
Discovery üzerine Cril, uygulamaları hemen Google’a bildirdi, bu da çoğu kötü amaçlı uygulamanın Play Store’dan kaldırılmasına neden oldu, ancak bazıları rapor anında aktif kaldı.
Güvenlik uzmanları, uygulamaları yalnızca doğrulanmış geliştiricilerden indirmenizi ve animonik ifadeler gibi hassas bilgiler isteyen uygulamalardan kaçınırken uygulama incelemelerini dikkatlice kontrol etmenizi önerir.
Kullanıcılar, Android cihazlarda Google Play Protect’i etkinleştirmeli ve mümkün olan her yerde çok faktörlü kimlik doğrulama uygulamalıdır. Ek koruyucu önlemler arasında saygın antivirüs yazılımının kullanılmasını ve parmak izi veya yüz tanıma gibi biyometrik güvenlik özelliklerinin sağlanması yer alır.
Canlı Kimlik Hırsızlık Saldırısı UN MASK & Anında Savunma – Ücretsiz Web Semineri