2024’ten bu yana, siber güvenlik araştırmacıları, kullanıcıları kötü amaçlı uygulamalar (APK dosyaları) yüklemeye zorlamak için sahte düğün davetiyelerini kullanan “Tria Stealer” olarak adlandırılan sofistike bir Android kötü amaçlı yazılım kampanyasını izliyorlar.
Kötü Yazılım Kampanyası Genel Bakış
Kampanya öncelikle Malezya ve Brunei’deki kullanıcıları hedefliyor ve Malezya en önemli etkiyi yaşıyor.
Analiz, operasyonun, gömülü Endonezya dil dizeleri ve kötü amaçlı yazılım mimarisindeki adlandırma kuralları ile desteklenen Endonezya konuşan bir tehdit aktöründen kaynaklandığını göstermektedir.
Heur tanımlayıcısı altında tespit edildi: Trojan-spy.androidos.agent.*, Bu kötü amaçlı yazılım Kaspersky’nin güvenlik çözümleri tarafından işaretlendi.
Tria Stealer, WhatsApp ve Gmail gibi uygulamalardan SMS mesajları, çağrı günlükleri, e -postalar ve kişisel iletişim dahil olmak üzere hassas verileri hasat eder.
Çalınan veriler, telgraf botları kullanılarak saldırgana iletilir ve hesap devralmalarını ve kurbanların kişilerini hedefleyen hileli para transferi taleplerini sağlar.
Kampanya, komut ve kontrol (C2) iletişimini yönetmek için Custom Telegram API botlarını kullanıyor.
Tria Stealer işlevselliğine ilişkin teknik bilgiler
Kötü niyetli APK dağıtım teması, tehlikeye atılan WhatsApp ve Telegram hesapları ile paylaşılan meşru düğün davetiyeleri ile ikna edici kullanıcılar etrafında dönüyor.
Kurulum üzerine, kötü amaçlı yazılım, SMS’ye erişme, çağrı günlüklerine ve bildirimlere erişme izinleri isteyen bir sistem ayarları uygulaması olarak gizler.
İlk yürütme sırasında, cihaz bilgileri, telefon numaraları ve kişisel uygulama ile ilgili verileri toplar ve bunları saldırganın telgraf botlarına iletir.
Tria Stealer, WhatsApp, Outlook ve Gmail gibi uygulamalardan mesajları ayıklamaya ve yaymasına izin veren bildirim müdahalesi de dahil olmak üzere gelişmiş özellikleri içerir.
Bu özellik, saldırganların mesajlaşma ve finansal hizmetlerle bağlantılı hesapları kaçırması için gerekli olan tek seferlik şifre (OTP) ve işlem yetkilendirme kodu (TAC) hırsızlığını destekler.
Ayrıca, kötü amaçlı yazılım SMS ve çağrı etkinliklerini, SMSMonitor ve CallMonitor gibi özel bileşenleri kullanarak mesaj içeriği, gönderen bilgileri ve çağrı bilgilerini toplamak için izler.
Daha sonraki Tria Stealer varyantları işlevselliklerini geliştirerek, çeşitli uygulamalardan bildirimleri kesme ve sadece SMS değil, aynı zamanda e -postaları, kişisel mesajları ve iletişim bilgilerini de kesme özelliklerini ekledi.
Saldırganlar, SMS veya uygulama bildirimleri gibi belirli veri kümeleri için birden fazla telgraf botu kullanarak çalınan bilgileri akıllıca ayırırlar.
Kampanya, Mesajlaşma uygulamasından yararlanmak için tasarlanmıştır: iki ana hedefi açıklamak için tasarlanmıştır: kötü amaçlı yazılımları daha fazla yaymak ve kullanıcıların kişilerini dolandırmaları için taklit etmek.
Mağdurların çalınan verileri, bankacılık hizmetlerine, e-ticaret hesaplarına ve SMS’ye veya doğrulama için e-postalara bağımlı diğer platformlara erişim sağlayabilir.
Benzer bölgeleri hedefleyen Udangasteal gibi önceki kötü amaçlı yazılım kampanyalarının aksine, Tria Stealer daha sofistike veri hırsızlığı ve hesap uzlaşma mekanizmaları da dahil olmak üzere farklı özellikler sergiliyor.
Atıf analizi, bu sonuca işaret eden kötü amaçlı yazılım dizeleri ve bot isimleri ile Endonezya kökenlerini güçlü bir şekilde önermektedir.
Mağdur eğilimleri, bireylerin özel bir hedeflemesini ortaya koymuyor, ancak Malezya ve Brunei’deki kullanıcılara geniş bir odaklanıyor.
Kanıtlar, kampanyanın Mart 2024’ten beri aktif olduğunu ve Ocak 2025’te devam ettiğini gösteriyor.
Güvenli listeye göre, Tria Stealer’ın gelişen taktikleri Güneydoğu Asya’daki mobil kullanıcılar için kalıcı bir tehdide işaret ediyor.
Sosyal mühendislik ve kimlik avı tekniklerinden yararlanarak, saldırganlar insan güvenini ve cihaz güvenlik açıklarından yararlanırlar.
Kullanıcılara doğrulanmamış kaynaklardan uygulamalar yüklemekten kaçınmaları, istenmeyen mesajlar konusunda dikkatli olmaları ve cihazlarını güvenilir güvenlik çözümleriyle korumaları şiddetle tavsiye edilir.
Siber güvenlik uzmanları, bu tür tehditleri erken tespit etmenin ve hafifletmenin önemini vurgulamaktadır.
Kuruluşlar ve bireyler, bu kampanya mobil kötü amaçlı yazılım saldırılarının artan karmaşıklığını vurguladığı için uyanık kalmalıdır.
SOC/DFIR ekiplerinden misiniz? -kötü amaçlı yazılım dosyalarını ve bağlantılarını herhangi biriyle analiz edin. Run Sandox -> Ücretsiz dene