Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Mobil Ödemeler Dolandırıcılığı
Rus Siber Suç Forumunda Görülen Mobil Android İşletim Sistemi Cihaz Sahtekarlığı Araçları
Prajeet Nair (@prajeetspeaks) •
13 Temmuz 2023
Tehdit aktörleri, müşterileri dünya çapında çevrimiçi bankacılık, ödeme sistemleri, reklam ağları ve çevrimiçi pazarlarda dolandırmak için özel mobil Android cihaz sahtekarlığı araçlarını kullanıyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Resecurity’deki araştırmacılar, siber suçluların, güvenliği ihlal edilmiş hesap sahiplerinin kimliğine bürünen ve dolandırıcılık önleme kontrollerini atlayan araçlar kullanarak taktiklerini geliştirdiklerini gözlemledi.
Saldırganlar, çalınan çerez dosyalarından yararlanarak, hiper ayrıntılı cihaz tanımlayıcılarını taklit ederek ve dolandırıcılık kurbanlarının benzersiz ağ ayarlarını kullanarak bu sahtekarlık araçlarını kullanıyor.
Araştırmacılar, “Masaüstü tabanlı algılama önleyici tarayıcılar, tehdit aktörleri tarafından en az 2014’ten beri hesap yasaklarını aşmak ve sistemleri başka şekillerde manipüle etmek için kullanılsa da, rakip mobil işletim sistemi tabanlı araçların ortaya çıkışı siber suç inovasyonunda yeni bir sınırı temsil ediyor” dedi.
Bu yılın başından bu yana araştırmacılar, bu tür araçları arayan tehdit aktörlerinin ilgisinde önemli bir artış ve pazar talebini karşılamak için karanlık ağda yeni ürünlerin ortaya çıktığını fark ettiler.
Mobil Android işletim sistemi cihazı sahtekarlığı araçları, XSS adlı karanlık ağda bir Rus siber suç forumu da dahil olmak üzere çeşitli yeraltı topluluklarında tespit edildi. Ayrıca, üyelere özel saldırı kitlerine erişim sağlayan özel Telegram grupları da buldular.
Bu platformlarda satılan araçlardan bazıları, algılama önleyici tarayıcıları, cihaz parmak izi öykünücülerini ve sahtekarları içerir. Bu araçlar, tehdit aktörlerinin bankacılık web siteleri, e-ticaret portalları ve diğer çevrimiçi pazar yerlerindeki parmak izlerine dayalı dolandırıcılık önleme kontrollerini atlamasına yardımcı olur.
Araştırmacılar, Daddy Goose adlı bir tehdit aktörünün, çevrimiçi kimlik dolandırıcılığı gerçekleştirmek için “İsviçre Çakısı benzeri” araçlar ve değiştirilmiş bileşenler kombinasyonu sağladığını gözlemledi. Araçlar, bir çerez yöneticisi, konum sahtekarlığı, cihaz parmak izi değişiklikleri ve daha fazlasını içerir. Daddy Goose, bir mobil antidetect tarayıcısı için 700 $ ücret aldı.
Antidetect Tarayıcıları Nasıl Çalışır?
Algılamayı önleyici tarayıcılar, tehdit aktörlerinin “sahtekarlığı önleme çözümlerinin istemci tarafından parmak izi cihazlarına kazıdığı veri parametrelerini manipüle etmesine ve müşterinin kimliğini doğrulamasına” olanak tanır. Bu parametreler, donanım türünü, işletim sistemini ve tarayıcı/yazılımla ilgili kimlikleri içerir.
Araştırmacılar, “Bu tanımlayıcılar JavaScript, HTML5, WebRTC ve diğer teknolojiler kullanılarak kazınıyor” dedi. “Siber suçlu aktörler, dolandırıcılık önleme çözümlerinin saldırılarına yanıt verebilirliğini sürekli olarak analiz eder ve tespit önleme ayarlarını başarılı istismar olasılığını artıran parametrelere göre değiştirir.”
Araştırmacılar ayrıca, tehdit aktörlerinin GoLogin gibi araçları kötü amaçlarla masaüstü ve mobil cihazlarda parmak izi taklit etmek için kullandıklarını da gözlemledi.
Dark web’deki yeni antidetect’ler, mobil cihaz parmak izlerini ve tipik olarak dolandırıcılık önleme sistemleri tarafından analiz edilen diğer yazılım ve ağ parametrelerini yanıltabilir. Araştırmacılar, bu mobil antidetect istismar kitlerinin One Plus ve Xiaomi Redmi tarafından sunulan mobil cihazlar için tasarlandığını değerlendirdi.
Araştırmacılar, “Bu araçların giderek daha fazla benimsenmesi, geçen yıl keşfedilen en az 200.000 yeni kötü amaçlı değişkenle mobil kötü amaçlı yazılımların patlamasıyla örtüşüyor” dedi.
Antidetect’lerin, dolandırıcılara, akıllı telefonlar kullanarak bankacılık veya diğer finansal işlemler gerçekleştirirken kullanıcıları korumaya çalışan zayıf dolandırıcılık kontrollerini atlatmaları için güç verdiğini söylediler.
TimpDoor ve Clientor gibi diğer türler, tehdit aktörlerinin cihaza bir proxy sunucusu kurmasına izin verir. Bu, dolandırıcıların kurbanın çevrimiçi bankacılık hesaplarına erişirken kurbanın IP adreslerini kullanmasına olanak tanır.
Ayrıca dolandırıcıların, kurbanın cihazının tam uzaktan kumanda yönetimiyle sanal bir bilgi işlem ağı kurmasına da olanak tanır.