Siber güvenlik firması Group-IB, İspanyol bankacılık müşterilerini hedef alan karmaşık bir siber suç operasyonunu ortaya çıkardı.
Suç örgütü GXC Team, hassas bankacılık bilgilerini çalmak için yapay zeka destekli kimlik avı araçları ve Android kötü amaçlı yazılımları kullanıyor.
Bu makalede GXC Ekibinin operasyonel yöntemleri, kötü amaçlı araçlarının benzersiz özellikleri, saldırı stratejileri ve bu tür tehditlere karşı etkili savunma mekanizmaları ele alınmaktadır.
GXC Ekibinin Ortaya Çıkışı
GXC Ekibi ilk olarak Ocak 2023’te radarda göründü. Telegram ve yeraltı forumu Exploit.in’deki özel kanallar aracılığıyla faaliyet gösteriyorlar. Kimlik avı kitleri, Android kötü amaçlı yazılımları ve AI destekli dolandırıcılık araçları geliştirme ve satma konusunda uzmanlaşıyorlar.
Öncelikli hedefleri İspanyol bankalarının kullanıcılarıydı ancak etki alanları ABD, Birleşik Krallık, Slovakya ve Brezilya’daki hükümet organları, e-ticaret platformları ve kripto para borsalarına kadar uzanıyordu.
Klasik bir kötü amaçlı yazılım-hizmet modeli GXC Ekibinin operasyonlarının merkezinde yer alır. Group-IB’nin raporuna göre, kimlik avı kitlerini 150 ila 900 dolar arasında değişen fiyatlara sunarken, kimlik avı kiti ve Android kötü amaçlı yazılımını içeren bir paketin maliyeti ayda yaklaşık 500 dolardı.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
Müşterilere, genellikle banka alan adlarını taklit eden alan adlarıyla birlikte, tam olarak kurulmuş kimlik avı kaynakları sağlandı.
GXC Ekibi ayrıca gerekli altyapıyı yapılandırarak diğer tehdit aktörlerinin saldırılarını daha kolay gerçekleştirmelerini sağladı.
Kimlik Avı Kitleri ve Android Kötü Amaçlı Yazılımları
GXC Ekibinin birincil araçları arasında özel kimlik avı kitleri ve Android kötü amaçlı yazılımları yer alıyordu. Bu kimlik avı kitleri İspanya’daki 36 banka ve dünya çapında 30 başka kurum için tasarlanmıştı.
Android zararlı yazılımı, bir bankacılık uygulaması gibi gizlenmişti ve özellikle meşru bankalardan gönderilen Tek Kullanımlık Şifre (OTP) kodlarını yakalamada oldukça etkiliydi.
GXC Ekibinin araçlarının en dikkat çekici özelliklerinden biri, kimlik avı kitlerini SMS OTP çalma kötü amaçlı yazılımlarıyla bir araya getirebilmesiydi.
Bu kombinasyon, saldırganların kurbanları bir “kimlik avı girişimini” önlemek için bir bankacılık uygulamasını indirmeye ve yüklemeye yönlendirmesine olanak sağladı.
Uygulama kurulduktan sonra, saldırganların SMS’leri kurbanın cihazından GXC Ekibi tarafından kontrol edilen bir Telegram botuna iletmesine olanak tanıyan SMS’leri manipüle etme izinleri istedi.
AI Destekli Sesli Arama Özelliği
GXC Ekibi ayrıca kimlik avı kitlerine yapay zeka destekli bir sesli arama özelliği entegre etti. Bu özellik, diğer tehdit aktörlerinin kurbanlara sesli aramalar oluşturmasını, onlara iki faktörlü kimlik doğrulama (2FA) kodlarını vermelerini veya kötü amaçlı yazılım olarak gizlenmiş uygulamaları yüklemelerini talimat vermesini sağladı.
Yapay zekanın bu yenilikçi kullanımı, dolandırıcılık senaryolarını daha da ikna edici hale getirdi ve suçluların planlarında yapay zeka araçlarını ne kadar hızlı benimseyip uyguladıklarını gösterdi.
Saldırı Senaryoları
Kimlik avı yolu
Saldırı genellikle kurbanın smishing (SMS phishing) yoluyla bir kimlik avı yemi almasıyla başlar. Kurban, İspanyol Vergi Kimlik Numarası (NIF) ve oturum açma bilgileri gibi ilk kimlik bilgilerini sağlamasının istendiği bir kimlik avı web sitesine yönlendirilir.
Tehdit aktörü, kurbanın kimlik avı web sitesini ziyaret ettiğine dair yönetici panelinde veya Telegram sohbetinde bir bildirim aldı.
Saldırgan, kimlik belgesinin fotoğrafı (DNI), fiziksel adres, e-posta adresi, telefon numarası ve SMS OTP kodu gibi ek kişisel bilgiler talep edebilir.
Bu veriler, kimlik avı kitinin yönetici panelinde göründü veya tehdit aktörünün kontrolündeki Telegram sohbetine gönderildi.
Android Kötü Amaçlı Yazılım Yolu
Bazı finans kuruluşları için kimlik avı sayfası, kurbanları sözde bir Android bankacılık uygulamasını indirip yüklemeye kandırıyordu.
Ne yazık ki, kurbanlar SMS OTP’lerini çalmak için tasarlanmış kötü amaçlı yazılım indiriyorlardı. Kötü amaçlı APK, gerçek bir logo ve stiller kullanarak meşru bir banka uygulaması gibi davranıyordu.
Uygulamayı yükledikten sonra, kurbana SMS’leri manipüle etme izni isteyen bir sayfa sunuldu. Uygulama varsayılan SMS uygulaması olduğunda, mesajları okuyabilir, iletebilir ve silebilirdi.
Uygulama daha sonra gerçek bir bankanın web sitesini açtı ve kullanıcıların genellikle onunla etkileşime girmesine izin verdi. Saldırgan OTP istemini tetiklediğinde, Android kötü amaçlı yazılımı sessizce OTP kodlu SMS mesajlarını aldı ve tehdit aktörü tarafından kontrol edilen Telegram sohbetine iletti.
GXC Android Kötü Amaçlı Yazılım Analizi
GXC Ekibinin Android kötü amaçlı yazılımı öncelikle bir SMS hırsızı türüydü. Temel işlevi, banka oturum açma işlemleri için OTP oturum açma kodları içeren SMS mesajları almak ve bunları tehdit aktörü tarafından kontrol edilen bir Telegram sohbetine göndermekti.
Kötü amaçlı yazılım, READ_SMS ve RECEIVE_SMS gibi belirli izinler talep ediyor ve kurbanın cihaz donanım tanımlayıcıları, IP adresleri ve telefon numaraları gibi cihaz bilgilerini topluyor.
Bu tür karmaşık saldırılara karşı korunmak için kullanıcıların ve finans kuruluşlarının aşağıdaki savunma stratejilerini benimsemeleri gerekir:
- Çok Faktörlü Kimlik Doğrulama (MFA): Sadece SMS tabanlı OTP’lere dayanmayan MFA yöntemlerini kullanın.
- Güvenlik Farkındalığı Eğitimi: Kullanıcıları kimlik avı taktikleri ve şüpheli mesajların ve web sitelerinin nasıl tanınacağı konusunda eğitin.
- Düzenli Yazılım Güncellemeleri: Tüm cihaz ve uygulamaların güvenlik açıklarını kapatmak için düzenli olarak güncellendiğinden emin olun.
- Gelişmiş Tehdit Algılama: Kimlik avı girişimlerini ve kötü amaçlı yazılımları tespit etmek ve engellemek için gelişmiş tehdit algılama sistemlerini uygulayın.
- Güvenli İletişim Kanalları: Hassas işlemler için güvenli iletişim kanallarını kullanın ve kişisel bilgilerinizi SMS veya e-posta yoluyla paylaşmaktan kaçının.
GXC Ekibinin keşfi, özellikle İspanyol bankacılık müşterilerine yönelik yeni bir siber tehdidi ortaya koyuyor. Kimlik avı kitleri, Android OTP hırsızı kötü amaçlı yazılımları ve AI destekli sesli aramaların yenilikçi kombinasyonu, onları bölge için önemli bir tehdit haline getiriyor.
Siber suçlular taktiklerini geliştirdikçe, kullanıcılar ve finans kuruluşlarının bu tür karmaşık saldırılara karşı korunmak için dikkatli olmaları ve güçlü güvenlik önlemleri almaları gerekiyor.
Protect Your Business Emails From Spoofing, Phishing & BEC with AI-Powered Security | Free Demo