Zimperium zLabs ekibinin araştırmasına göre, kötü amaçlı yazılım, kurbanlarından yararlanmak için birden fazla sosyal mühendislik katmanı kullanıyor ve kötü niyetli aktörlerin kişisel cihazlardan özel bilgileri çalmasına ve ardından bu bilgileri kişilere şantaj yapmak için kullanmasına izin veriyor.
Zimperium araştırmacılarına göre, üçüncü taraf uygulama mağazaları aracılığıyla dağıtılan ve kurbanların Android cihazlarına yandan yüklenen MoneyMonger kötü amaçlı yazılımı, sıfırdan kötü amaçlı olacak şekilde oluşturuldu ve hızlı paraya ihtiyacı olanları hedefliyor. Yıkıcı bir kredi planıyla başlayarak ve birkaç basit talimatı uygulayanlara hızlı para vaat ederek kurbanlarından yararlanmak için birden fazla sosyal mühendislik katmanı kullanıyor.
Uygulamayı kurma sürecinde kurbana, kredi almak için iyi durumda olduklarından emin olmak için mobil uç noktada izinlerin gerekli olduğu söylenir. Bu izinler daha sonra kişi listesi, GPS konum verileri, yüklü uygulamaların listesi, ses kayıtları, arama günlükleri, SMS listeleri ve depolama ve dosya listeleri dahil olmak üzere verileri toplamak ve dışarı sızdırmak için kullanılır. Ayrıca kamera erişimi kazanır.
Çalınan bu bilgiler, kurbanlara aşırı yüksek faiz oranları ödemeleri için şantaj yapmak ve tehdit etmek için kullanılır. Mağdur zamanında ödeme yapmazsa ve bazı durumlarda kredi geri ödendikten sonra bile kötü niyetli kişiler bilgileri ifşa etmekle, kişi listesindeki kişileri aramakla ve hatta cihazdan fotoğraf göndermekle tehdit ediyor.
Bu kötü amaçlı yazılımla ilgili yeni ve ilginç şeylerden biri, kötü amaçlı kodu gizlemek için Flutter yazılım geliştirme kitini nasıl kullandığıdır.
Açık kaynak kullanıcı arabirimi (UI) yazılım seti Flutter, uygulama geliştiricileri için oyunun kurallarını değiştirirken, kötü niyetli kişiler de şüphelenmeyen kurbanlara kritik güvenlik ve gizlilik riskleri taşıyan uygulamaları dağıtarak onun yeteneklerinden ve çerçevesinden yararlandı.
Zimperium araştırmacıları 15 Aralık tarihli bir blog yazısında, bu durumda, MoneyMonger’ın kötü amaçlı özellikleri gizlemek ve kötü amaçlı etkinliğin statik analizle tespit edilmesini karmaşık hale getirmek için Flutter’ın çerçevesinden yararlandığını açıkladı.
İşletmelere Yönelik Risk, Toplanan Geniş Veri Yelpazesinden Kaynaklanıyor
Zimperium mobil tehdit istihbaratı direktörü Richard Melick, Dark Reading’e borç verme uygulamalarını kullanan tüketicilerin en fazla risk altında olduğunu, ancak bu tehdidin doğası gereği ve saldırganların şantaj için hassas bilgileri nasıl çaldıklarını, aynı zamanda işverenlerini veya herhangi bir kuruluşu tehlikeye attıklarını söylüyor. onlar da risk altında çalışırlar.
“MoneyMonger’ın arkasındaki saldırganların, kurbanlarından şantaj yapmak için kullanarak kurumsal e-postalardan, indirilen dosyalardan, kişisel e-postalardan, telefon numaralarından veya telefondaki diğer kurumsal uygulamalardan bilgi çalması çok kolay” diyor.
Melick, MoneyMonger’ın, kurbanın cihazından, kurumla ilgili potansiyel olarak hassas materyal ve özel mülkiyet bilgileri de dahil olmak üzere çok çeşitli veriler topladığı için bireyler ve kuruluşlar için bir risk oluşturduğunu söylüyor.
“Kurumsal verilere bağlı herhangi bir cihaz, bir çalışanın o cihazda MoneyMonger’ın yağmacı kredi dolandırıcılığına kurban gitmesi durumunda işletme için risk oluşturur” diyor. “Bu yağmacı kredinin kurbanları, şantajın bedelini ödemek için çalmaya veya kampanyanın arkasındaki kötü niyetli aktörler tarafından kritik kurumsal verilerin çalındığını bildirmemeye mecbur kalabilir.”
Melick, kişisel mobil cihazların işletmeler için önemli, adressiz bir saldırı yüzeyi oluşturduğunu söylüyor. Mobil cihazlara yönelik kötü amaçlı yazılımların yalnızca daha da gelişmeye devam ettiğine ve artan bu kötü niyetli faaliyet alt kümesine karşı ayakta durmak için tehdit telemetrisi ve kritik savunma olmadan, işletmelerin ve çalışanlarının risk altında kaldığına dikkat çekiyor.
“Şirkete ait veya bir BYOD stratejisinin parçası olmaları fark etmeksizin, MoneyMonger ve diğer gelişmiş tehditlerin bir adım önünde olmak için güvenlik ihtiyacı çok önemlidir” diyor. “Eğitim, buradaki anahtarın yalnızca bir parçasıdır ve teknoloji, MoneyMonger ve diğer tehditlerin sunduğu risk ve saldırı yüzeyini en aza indirerek boşlukları doldurabilir.”
Resmi olmayan uygulama mağazalarından uygulama indirmekten kaçınmanız gerektiğini de unutmamak önemlidir; Dark Reading’e bir Google sözcüsü, Google Play gibi resmi mağazaların kullanıcılar için korumaları olduğunu vurguladı.
“Raporda tespit edilen kötü amaçlı uygulamaların hiçbiri Google Play’de yok” dedi. “Google Play Protect, Google Play Hizmetlerine sahip Android cihazları diğer kaynaklardan potansiyel olarak zararlı uygulamalara karşı kontrol eder. Google Play Protect, kötü amaçlı olduğu belirlenen uygulamaları yüklemeye veya başlatmaya çalışan kullanıcıları uyarır.”
Banka Truva Atlarının Dirilişi
MoneyMonger kötü amaçlı yazılımı, artık güncellenmiş yeteneklere ve bir fidye yazılımı modülü içeren geliştirme aşamasındaki ek bir sürüme sahip olan Android bankacılık Truva Atı SOVA’nın yeniden dirilişini takip ediyor.
Diğer bankacılık Truva Atları, Ocak 2021’de ortak bir uluslararası görev gücü tarafından durdurulduktan sonra bu yazın başlarında daha gelişmiş bir biçimde yeniden ortaya çıkan Emotet de dahil olmak üzere, güvenliği aşmaya yardımcı olmak için güncellenmiş özelliklerle yeniden ortaya çıktı.
Nokia’nın 2021 “Tehdit İstihbarat Raporu”, siber suçlular, kişisel bankacılık kimlik bilgilerini ve kredi kartı bilgilerini çalmayı amaçlayan komplolarla akıllı telefonlarda mobil bankacılığın artan popülaritesini hedeflediğinden, bankacılık kötü amaçlı yazılım tehditlerinin keskin bir şekilde arttığı konusunda uyardı.
Şantaj Tehditlerinin 2023’te Devam Etmesi Bekleniyor
Melick, küresel ölçekte fidye yazılımı saldırılarında ve veri ihlallerinde görüldüğü gibi şantajın kötü niyetli aktörler için yeni olmadığına dikkat çekiyor.
“Ancak bireysel kurbanları hedef alan bu kadar kişisel düzeyde şantajın kullanılması, personel ve zaman yatırımı gerektiren biraz yeni bir yaklaşımdır” diyor. “Ama karşılığını veriyor ve MoneyMonger ve buna benzer diğer yağmacı kredi dolandırıcılığı hakkındaki inceleme ve şikayetlerin sayısına göre, sadece devam edecek.”
Piyasa ve finansal koşulların, bazı insanları fatura ödeme veya fazladan para kazanma yolları konusunda çaresiz bırakacağını tahmin ediyor.
“Tıpkı son durgunlukta yağmacı kredi dolandırıcılıklarının arttığını gördüğümüz gibi, bu hırsızlık ve şantaj modelinin 2023’te de devam edeceğini görmemiz neredeyse kesin.”