Kötü niyetli bir Android uygulaması olan Finans Basitleştirilmiş (Paket: Com.someca.count) Google Play Store’da bir finansal yönetim aracı kisvesi altındaki Hintli kullanıcıları hedefleyen tanımlanmıştır.
Bir EMI hesap makinesi sunduğunu iddia eden uygulama, bunun yerine yırtıcı borç verme, veri hırsızlığı ve gaspı kolaylaştıran sofistike bir kötü amaçlı yazılım platformudur.
Hızlı yayılma ve sömürücü uygulamalar
Uygulama, indirmelerde keskin bir artış gördü ve sadece bir haftada 50.000 ila 100.000 kurulum arasında yükseldi.
Kurulduktan sonra, webView aracılığıyla yetkisiz kredi uygulamalarını görüntülemek için konum tabanlı hedeflemeden yararlanır.
Bu uygulamalar, kullanıcıları harici sunucularda APK dosyalarını barındırarak Google Play’in güvenlik mekanizmalarını atlayan harici web sitelerine yönlendirir.
Mağdurlar, sömürücü kredi anlaşmalarına zorlanır ve kişisel fotoğraflarını kullanarak Deep Defake görüntülerinin oluşturulması da dahil olmak üzere şantaj taktikleri aracılığıyla tacize maruz kalırlar.
Teknik mekanizmalar ve veri ihlalleri
Uygulama, konum verilerine, kişilere, çağrı günlüklerine, SMS mesajlarına, pano içeriğine ve harici depolama alanına erişim dahil aşırı izinler talep eder.
Şifreler, kredi kartı detayları ve özel mesajlar gibi hassas bilgileri sessizce toplar.
Bu veriler Amazon EC2 altyapısında barındırılan bir komut ve kontrol (C2) sunucusuna iletilir.
Bu sunucunun yönetici paneli hem İngilizce hem de Çince dillerini destekleyerek Çince konuşan saldırganların potansiyel katılımını önermektedir.
Uygulamanın kötü niyetli etkinliklerinin temel özellikleri şunları içerir:
- Dinamik WebView Manipülasyonu: Kullanıcının konumuna göre tasarlanmış sahte kredi uygulamalarını görüntülemek için JavaScript kodunun enjekte edilmesi.
- Kalıcı veri toplama: Pano girişlerini yakalamak, arama günlüklerini izlemek, iletişim bilgilerini çıkarma (e -postalar ve telefon numaraları dahil) ve SMS iletişimlerini izleme.
- Şantaj taktikleri: Kullanıcı fotoğraflarını gasp amacıyla sahte çıplak görüntülere düzenlemek.
Cyfirma soruşturması bunu ortaya koydu Finans Basitleştirildi Kreditapple, Moneyape, Stashfur ve PokketMe gibi daha büyük bir hileli uygulamalar ağının bir parçasıdır.
Bu uygulamalar, hileli faaliyetler için oyun mağazasından kaldırılmasıyla yanlış kanıtlanmış bir talep olan Hint finansal düzenleyicilere kayıt talep ederken benzer arayüzleri ve gizlilik politikalarını paylaşıyor.
Bu uygulamalar, kullanıcı bilgisi olmadan yükleme sonrası değiştirilebilen harici URL’lerde barındırılan dinamik gizlilik politikaları gibi yanıltıcı taktikleri kullanır.
Bu, saldırganların zararlı güncellemeler enjekte etmesini veya kullanıcıları kimlik avı sitelerine yönlendirmesini sağlar.
Gibi uygulamaların ortaya çıkışı Finans Basitleştirildi Mobil platformlardan yararlanan siber suçluların artan sofistike olmasının altını çiziyor.
Kullanıcıların uygulama izinlerini dikkatle incelemeleri ve Google Play Store gibi resmi platformlardan bile doğrulanmamış kaynaklardan uygulamaları indirmekten kaçınmaları önerilir.
Kuruluşlar, kötü amaçlı uygulamaları derhal tanımlamak ve kaldırmak için sağlam uç nokta güvenlik önlemleri uygulamalı ve uygulama pazarları ile işbirliği yapmalıdır.
Bu dava, Hindistan ve ötesindeki finansal siber suçlarla mücadelede artan siber güvenlik farkındalığına yönelik kritik ihtiyacın kesin bir hatırlatıcısı olarak hizmet vermektedir.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here