Trend olan bir öğeyi kötü amaçlı bir yem olarak kullanmak nispeten yaygındır; Bunu askeri çatışmaların olduğu bir dönemde yapmak ve etkilenen bölgedeki kullanıcıları kasten hedef almak farklı bir adımdır.
Son zamanlarda gerçek bir uygulama olan RedAlert – Rocket Alerts, İsrail ve Gazze bölgesindeki kullanıcılar arasında popüler oldu; çünkü bu uygulama, bireylerin gelen hava saldırıları hakkında zamanında ve kesin uyarılar almasına olanak tanıyor. Ancak geçen hafta uygulamanın, kişilere erişim, çağrı günlükleri, SMS, hesap bilgileri ve yüklü diğer uygulamalara genel bakış gibi kişisel bilgileri toplayan kötü amaçlı, sahte bir sürümü tespit edildi.
Bu ve benzer bir olayın ortaya çıkması, ne yazık ki İsrail-Hamas çatışmasındaki siber suçların, kritik altyapılara yönelik ulus devlet saldırılarının ötesine geçerek kullanıcının avuçlarına kadar uzanacağını gösteriyor.
İlk Kötü Amaçlı Uygulama
Cloudflare’in tespitine göre, kötü amaçlı dosyayı barındıran web sitesi 12 Ekim’de oluşturuldu ve o tarihten bu yana çevrimdışı duruma getirildi. Yalnızca uygulamanın Android sürümünü yükleyen kullanıcılar etkilenmektedir ve bu kullanıcılara acilen uygulamayı silmeleri tavsiye edilmektedir.
Cloudflare’den yapılan açıklamada, meşru RedAlert – Rocket Alerts uygulamasını taklit eden bir Google Android Uygulamasını barındıran bir web sitesinin farkına varıldığı belirtildi. “İsrail’deki mevcut iklim göz önüne alındığında, ülkede yaşayan bireyler, güvenlik aramanın kritik olduğu durumlarda bilgilendirilmek için bu uygulamaya büyük ölçüde güveniyor.”
Arctic Wolf’un yakın tarihli bir raporuna göre, bilinen bir markayı taklit eden kötü amaçlı bir uygulamanın oluşturulması yaygın bir durum; bu raporda, resmi uygulama mağazalarında bulunan kötü amaçlı uygulamaların genellikle popüler veya kötü amaçlı yazılımlara benzer adlar, resimler veya açıklamalar kullanılarak gizlendiği belirtiliyor. ücretsiz uygulamalar. Ayrıca, kötü amaçlı uygulamanın derecelendirmesini artırmaya ve daha gerçekçi görünmelerini sağlamaya yardımcı olacak sahte incelemelere de sahip olabilirler.
Ancak bu vakada, kötü amaçlı uygulama, Cloudflare’in “sıkıntı zamanı” olarak adlandırdığı ve bu tür hizmetlere yanıt verildiği dönemde veri çalmak için yaygın olarak kullanılan bir uygulamayı taklit etti ve bunun “tehdit saldırganlarının gerçekliği kullanarak gerçekleri kullanmalarının bir başka örneği” olduğunu ekledi. etkili saldırılar gerçekleştiriyoruz.”
Bugcrowd’un kurucusu ve CTO’su Casey Ellis, Gazze çatışmasının hem bölgesel hem de küresel olarak kötü amaçlı yazılım yemi olarak kullanıldığı buna benzer vakaları daha fazla görmeyi beklediğini söylüyor.
“Saldırganlar her zaman korku, belirsizlik ve değişken bir bilgi ortamı yaratan olaylara karşı tetiktedir ve İsrail-Hamas çatışması kesinlikle bu kriterleri karşılıyor” diyor.
Cloudflare, bu kötü niyetli uygulamanın arkasında kim olduğuna dair bir atıf ekleyemedi ve bunun Orta Doğu’dan gelen bir tehdit aktörü olduğuna dair bile bir kanıt yok. Yani bu, çatışmayı kendi kötü niyetli kazançları için kullanmak isteyen ilgisiz bir siber suçlunun işi olabilir.
Birden Fazla Olay
Ayrı bir tespitte Cloudflare, Filistin yanlısı hacktivist grup AnonGhost’un başka bir uygulama olan Red Alert: İsrail’deki bir güvenlik açığından yararlandığını söyledi. Bu, grubun istekleri ele geçirmesine, sunucuları ve API’leri açığa çıkarmasına ve bazı uygulama kullanıcılarına, nükleer bomba saldırısının yakın olduğuna dair bir mesaj da dahil olmak üzere sahte uyarılar göndermesine olanak tanıdı.
Bu olayın tespitinde, Grup-IB Tehdit İstihbaratı şunları söyledi: Bu, hacktivistlerin genellikle küçük ölçekli DDoS saldırıları ve tahrifat gerçekleştirmekle ilişkilendirilmesi nedeniyle saldırganların eylemlerinin çeşitlilik gösterebileceğini gösteriyor. Ancak devam eden çatışmaların gösterdiği gibi, bazen eylemleri çok daha yıkıcı ve maliyetli olabiliyor ve “tehdit istihbaratı programının bir parçası olarak hacktivizm riskini haritalandırmak ve uygun şekilde azaltmak çok önemli.”
Zimperium ürün stratejisinden sorumlu başkan yardımcısı Krishna Vishnubhotla, birçok uygulama ekibinin farkında olmadan tehdit aktörlerine kötüye kullanım için bir plan vermesi nedeniyle mobil uygulamalarda sahtekarlık yapmanın kolay olduğunu söylüyor.
Şöyle diyor: “Uygulama ekipleri kod optimizasyonuna ve pazara sunma hızına odaklanıyor, ancak uygulamaları yayınlandıktan sonra hiçbir zaman yeterli tehdit görünürlüğü ve koruması sağlayamıyor. Tehdit aktörleri bunu biliyor ve bir uygulamanın iç işleyişini gerçekten anlamak için tersine mühendislik kullanıyor.”
Vishnubhotla ekliyor: “Bir uygulamanın mimarisini, veri akışını ve güvenlik mekanizmalarını bilmek, bilgisayar korsanının kolayca sahte uygulamalar oluşturmasına olanak tanır.”
Tıklamalara Dikkat Edin
Bu tür saldırıların kurbanı olmamak için tavsiyeler oldukça basittir. Arctic Wolf, uygulamanın geliştiricilerini ve incelemelerini kontrol etmenizi, gerektiğinde izinleri kısıtlamanızı tavsiye ediyor; kullanıcılar yalnızca saygın geliştiricilerin uygulamalarını indirmeli ve diğer kullanıcıların incelemelerinde bahsedilen dolandırıcılık veya kötü amaçlı faaliyetlere ilişkin ifadeleri aramalıdır.
Group-IB’nin tavsiyesi, kuruluşların Web’e yönelik tüm uygulamaları dikkatli bir şekilde incelemesi ve güçlendirmesi yönündeydi; çünkü “hacktivistlerin, ana ürün API’lerine kıyasla genellikle daha yumuşak hedefler olarak algılanan web ve mobil API’lerden yararlanmaları alışılmadık bir durum değil.”
Ellis, kötü amaçlı uygulamalardan korunma konusundaki tavsiyesinin (kullanıcıların güvenmeleri ancak doğrulamaları gerektiğini) çığır açıcı bir şey olmadığını ancak bunun bir nedenden dolayı varlığını sürdürdüğünü kabul ediyor.
“Kişisel güvenlik konularında size yardımcı olmayı teklif eden herhangi bir şeye güvenmeden önce iki kez kontrol edin ve bunu başkalarıyla paylaşmadan önce üç kez kontrol edin” diyor. Bu durumda, kötü amaçlı uygulamaların, endişe durumundaki kişiler tarafından ve potansiyel olarak, genellikle onları incelemeye gereken özen gösterilmeden indirildiğini kabul ediyor.