Hesap Devri Dolandırıcılığı , Dolandırıcılık Yönetimi ve Siber Suçlar , Sosyal Mühendislik
Düşük Faizli Kredi Teklifi İle Mağdurlar Kandırıldı
Prajeet Nair (@prajeetspeaks) •
20 Mart 2023
Suçlu bilgisayar korsanları, yaklaşık iki düzine finansal uygulama kılığına giren bir Android Truva Atı ile Güney Korelileri hedefliyor ve kredi verenlerle sahte telefon görüşmeleri yaparak kurbanlarını ödeme kartı verilerini teslim etmeye kandırıyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Bir Check Point araştırma raporuna göre Truva Atı, uygun şekilde FakeCalls olarak adlandırılıyor. Güney Kore’de sesli kimlik avı saldırıları yaygındır. Chosun Ilbo, 2020’de, banka gibi davranan dolandırıcıların bildirdiği kayıpların beş yıl içinde 1,7 trilyon Kore wonu olduğunu söyledi. Bugün, bu miktar yaklaşık 1,3 milyar dolara eşit olacaktır. Kaspersky ayrıca 2022’de FakeCalls Truva Atı hakkında bir alarm verdi ve bunun “bir banka çalışanı kılığında kurbanla ‘konuşma’ konusunda ilginç bir yeteneğe sahip olduğunu” söyledi. Bağlantıyı keserek ve kendi sahte arama ekranını açarak yasal banka müşteri hizmetlerine yapılan aramaları keser.
Check Point araştırmacıları, taklit edilen finansal kuruluşların çeşitli kombinasyonlarını kullanan FakeCalls kötü amaçlı yazılımının 2.500’den fazla örneğini keşfettiklerini söyledi. Geliştiriciler, “daha önce vahşi doğada görmediğimiz birkaç benzersiz kaçırma” kullanarak kötü amaçlı yazılımlarını tespit edilmekten korumak için adımlar atıyorlar.
Kampanya, düşük faizli kredi teklifiyle başlar. Kurban yemi yuttuktan sonra kötü amaçlı yazılım, kredi onayının ayrıntılarını doğrulamak için bankacılık enstitüsünden önceden kaydedilmiş bir ses başlatır.
Araştırmacılar, “Güven sağlandıktan sonra kurban, sahte krediye hak kazanma umuduyla kredi kartı ayrıntılarını ‘onaylaması’ için kandırılıyor” diyor.
Saldırının ikinci aşamasında kötü amaçlı yazılım operatörleri, bankadan gelen talimatları taklit eden önceden kaydedilmiş bir ses kaydı kullanır. Check Point araştırmacıları, çeşitli taklit finansal kuruluşlarla ilgili farklı kötü amaçlı yazılım örneklerine farklı izlerin yerleştirildiğini gözlemledi.
Kötü amaçlı yazılım, GitHub gibi açık kaynaklı bir kitaplığın yardımıyla ve “akış” adlı bir komut kullanarak cihazın kamerasından komut ve kontrol sunucularına canlı ses ve video akışlarını yakalayabilir.
Araştırmacılar, kötü amaçlı yazılımın analizini engellemeyi amaçlayan üç benzersiz numara buldu. Android paket dosyasının çoklu disk arşivlerine bölünememesi gerçeğine rağmen, ilk mekanizma “çoklu disk” olarak adlandırılır. Teknik, merkezi dizin kaydının sonunda abartılı bir sayı belirleyerek analiz araçlarını karıştırmayı amaçlamaktadır.
Geliştiriciler ayrıca, Google’ın her uygulamanın içermesi gerektiğini söylediği ve uygulama bileşenleri ve izinler gibi bildirimler içeren bir XML dosyası olan Android Manifest dosyası olduğu iddia edilen hatalı biçimlendirilmiş bir dosya yerleştirdiler. Hatalı biçimlendirilmiş dosya, kod çözme sürecini bozmaya yönelik bir dizi hata içerir.
Geliştiriciler ayrıca Android paket dosyasının içine çok sayıda iç içe geçmiş dosya yerleştirerek, dosya adını ve dosya yolunu APK kod çözücülerin mantığını kıracak bir uzunluğa şişirdiler.
Check Point araştırmacıları, yine de kötü amaçlı yazılımı kaynak koda dönüştürdüklerini söylüyor.
FakeCalls geliştiricileri, gerçek C2 yapılandırmasını iletmek için Google Drive gibi yasal web hizmetlerini kullanarak gerçek komuta ve kontrol sunucularını gizli tutmaya da özen gösterdi.