Araştırmacılar yakın zamanda Vietnam’da bireylerin hileli uygulamaların kurbanı olduğu endişe verici bir eğilim keşfettiler.
Cyble Research & Intelligence Labs (CRIL) tarafından hazırlanan bir rapora göre, bu kötü amaçlı uygulamalar, ‘HelloTeacher’ olarak bilinen ve kullanıcıların bankacılık verilerine yönelik önemli bir tehdit oluşturan yeni bir tür kötü amaçlı yazılımla donatıldı.
Bankacılık verilerini çalmak için HelloTeacher kötü amaçlı yazılımı
Özellikle Vietnamlı bireyleri hedef almanın ardındaki motivasyon belirsizliğini koruyor. Yine de dolandırıcılar, masum kullanıcıları kandırmak ve mağdur etmek için popüler mesajlaşma uygulamalarının adlarını taşıyan virüslü mesajlaşma uygulamalarını dağıtıyorlar.
CRIL araştırmacıları, Android casus yazılımına HelloTeacher adını, kaynak kodun test hizmetindeki terimin varlığına dayanarak atadı.
HelloTeacher kötü amaçlı yazılımının cihazlardan çalabileceği veriler şunlardır:
- Kişiler
- SMS’ler
- Fotoğraflar
- Yüklü uygulamalar
- Kamerayı kullanarak fotoğraf çekme
- Cihaz ekranının kaydedilmesi
Vietnamlıları hedef alan HelloTeacher kötü amaçlı yazılımı tarafından kullanılan uygulamalar
Cyble blogunda, “HelloTeacher kötü amaçlı yazılımı, kendisini Viber veya Kik Messenger gibi popüler bir mesajlaşma uygulaması olarak gizleyerek hedeflerini kötü amaçlı uygulamayı yüklemeye çekiyor.”
“Hedeflenen kullanıcı yeni viber kullanıcıları olabilir veya halihazırda mesajlaşma uygulamalarını kullanıyor olabilir. Bir CRIL araştırmacısı The Cyber Express’e verdiği demeçte, kötü amaçlı yazılımın kaynağı belirsiz ancak SMS veya e-posta yoluyla alınan kimlik avı bağlantısı yoluyla yayılabileceğinden şüpheleniyoruz.
“Tehdit Aktörü, yasal görünmek için WhatsApp simgesini de kullanabilir, bu nedenle kullanıcı, WhatsApp uygulamasını güvenilmeyen herhangi bir kaynaktan yüklemekten kaçınmalıdır.”
CRIL araştırmacısı ayrıca kullanıcılara, diğerlerinin yanı sıra Google Play Store gibi meşru kaynaklardan uygulama indirmeye öncelik vermelerini tavsiye etti.
Mesajlar aracılığıyla paylaşılan bağlantılardan uygulama indirmekten kaçınmanın önemini vurguladılar ve kullanıcıları şüpheli kaynaklara karşı dikkatli ve şüpheci olmaya teşvik ettiler.
Bankacılık uygulaması bilgilerini çalmak için HelloTeacher kötü amaçlı yazılımının işleyişi
Dolandırıcılar, bir erişilebilirlik hizmetini kötüye kullanarak casus yazılımı entegre etmek için bir bankacılık truva atı kullandı. Üç Vietnam banka uygulamasına odaklandılar. Onlar aşağıdaki gibiydi:
- TPBank Mobil
- MB Bankası
- VietinBank iPay
Kötü amaçlı yazılımın kodu, TPBank Mobil’in hesap bakiyesini çalmayı amaçlıyordu ve MB Bank uygulamasına bilgi girerken kullanıcıların bilgisi dışında işlem yapma olasılığı yüksek olduğu tespit edildi.
Bu modülün eksik olduğu bulundu ve bu nedenle araştırmacıların bunun hala devam eden bir kötü amaçlı yazılım olduğuna inanmalarına neden oldu. “00c614ce1a21b1339133240403617e9edc9f2afc9df45bfa7de9def31be0930e” karma değeri test edilerek aşağıdaki gözlemler yapılmıştır –
- Hileli mesajlaşma uygulaması, Erişilebilirlik hizmetini etkinleştirmek için izin istiyor.
- Daha sonra, kendisini diğer izinlere otomatik olarak vermek için izni kötüye kullanır.
- Uygulama daha sonra bankacılık truva atını başlatır.
- Yukarıdaki adımların yanı sıra HelloTeacher kötü amaçlı yazılımı, çalınan verileri şuraya göndermek için Komuta ve Kontrol sunucusuyla bir bağlantı kurar: hxxp://api.sixmiss[.]com/abb-api/istemci/
- Cihaz bilgilerini göndermek için, mesajlaşma uygulamasındaki bankacılık truva atı kullanır /durum URL’de.
- kullanır /kayıt kötü amaçlı yazılımın C&C sunucusuna hata günlükleri göndermesi için.
- /veri çalınan SMS’leri ve diğer verileri bilgisayar korsanlarına göndermek için kullanılır.
HelloTeacher kötü amaçlı yazılımı, hem İngilizce hem de Vietnamca dillerindeki parola ve kullanıcı adı ile ilgili bilgileri hedefler. Ancak, bu işlevin kodunun eksik olduğu bulundu. Kötü amaçlı yazılım ayrıca hileli uygulamanın kaldırılmasını önleyebilir, otomatik hareketler gerçekleştirebilir ve boş ekrandaki görünümü değiştirebilir.
Yukarıdaki işlevlerin yanı sıra, HelloTacher kötü amaçlı yazılımının, AlarmReceiver tarafından tetiklenen ‘HelloTacherService’ adlı bir test hizmetine sahip olduğu da bulundu.
Araştırmacılar, o sırada kötü amaçlı yazılımın belirli işlevlerini belirlemediler. Ancak, kodlamasının gelecekte bilgisayar korsanları tarafından değiştirilebileceğini ve potansiyel olarak yetenekleri hakkında daha fazla şey açığa çıkarabileceğini kabul ettiler.
Kodlar ayrıca Çince dilindeki dizeleri de içeriyordu. Bu, HelloTeacher kötü amaçlı yazılımının geliştiricilerinin kökenine işaret ediyor olabilir veya araştırmacıların dikkatini dağıtmak için bir hile olabilir.
HelloTeacher kötü amaçlı yazılımı tarafından hedef alınmaktan kaçınmak için hafifletici ve önleyici tedbirler
CRIL araştırmacısı, kullanıcıların dikkatli olmaları ve bu sahte mesajlaşma uygulaması dolandırıcılığının tuzağına düşmekten kaçınmaları için bazı yöntemlere dikkat çekti. The Cyber Express’e “Önemli bir tehlike işareti, şüpheli web sitelerinden, özellikle SMS veya e-posta yoluyla alınan mesajlaşma uygulama indirmelerini almaktır” dediler.
Ayrıca APK dosyalarının bu tür kaynaklardan indirilmemesi gerektiğini de eklediler. “Örneğin, HelloTeacher kötü amaçlı yazılımı, mesajlaşma uygulamalarının kimliğine bürünür, ancak herhangi bir meşru mesajlaşma işlevinden yoksundur. Bir kullanıcı böyle bir sahte uygulamayla karşılaşırsa, onu derhal kaldırması önemlidir.”
Kullanıcılar, indirdikleri mesajlaşma uygulamasının istendiği gibi çalışmadığını fark ederse, durumu ilgili yetkililere ve uygulama mağazalarına bildirmelidir. Bunu yaparak, sorunu çözmeye ve başkalarının etkilenmesini önlemeye yardımcı olabilirler.