Tek seferlik parolalar (OTP’ler), çevrimiçi hesaplar için ek bir koruma katmanı sunarak modern siber güvenliğin temel taşı haline geldi. Ancak, işletmeler hassas verileri ve uygulamaları korumak için OTP’lere daha fazla güvendikçe, saldırganlar da bu savunmaları aşma çabalarını artırdı. Özellikle OTP’leri çalmak için tasarlanmış mobil kötü amaçlı yazılımların yükselişi önemli bir endişe kaynağı ve Zimperium’un zLabs ekibi bu endişe verici eğilimi yakından izliyor.
Şubat 2022’den beri zLabs araştırmacıları, Android’e yönelik büyük ölçekli bir SMS hırsızlığı kampanyasını takip ediyor. Ekip, 107.000’den fazla kötü amaçlı yazılım örneği belirleyerek bu kampanyanın arkasındaki saldırganların kalıcılığını ve karmaşıklığını vurguladı. Bu derinlemesine araştırma, yalnızca kötü amaçlı yazılımın teknik karmaşıklığını değil, aynı zamanda cihazları enfekte etmek için kullanılan aldatıcı stratejileri de ortaya koyuyor.
Enfeksiyon süreci genellikle kurbanın kötü amaçlı bir uygulamayı yan yüklemeye kandırılmasıyla başlar. Bu, meşru uygulama mağazalarını taklit eden aldatıcı reklamlar veya hedeflerle doğrudan iletişim kuran otomatik Telegram botları aracılığıyla gerçekleşebilir. Kötü amaçlı uygulama yüklendikten sonra, Android’de hassas kişisel verilere erişim sağlayan yüksek riskli bir izin olan SMS mesajı okuma izinleri ister.
Daha sonra kötü amaçlı yazılım, komutları yürüterek ve çalınan verileri toplayarak saldırıyı düzenleyen Komuta ve Kontrol (C&C) sunucusuna bağlanır.
Bağlantı kurulduktan sonra, kötü amaçlı yazılım birincil görevine başlar: OTP’leri toplamak. Gelen SMS mesajlarını sessizce izler, hesap doğrulaması için kullanılan OTP’leri engeller. Bu, saldırganların güvenlik önlemlerini aşmasını ve hassas hesaplara ve verilere yetkisiz erişim elde etmesini sağlar.
Bu kötü amaçlı yazılım kampanyasının dağıtım yöntemleri özellikle endişe verici. Saldırganlar, kurbanları kötü amaçlı yazılımları indirmeye ve yüklemeye çekmek için çeşitli aldatıcı taktikler kullanır. Bu taktikler arasında güvenilir kaynakları taklit eden kötü amaçlı reklamlar ve meşru hizmetler gibi görünen Telegram botları yer alır. Bu yöntemler güvenilir görünerek kullanıcıları cihazlarını tehlikeye atmaları için başarıyla kandırır. Dikkat çekici bir örnekte, kurbanlar resmi olmayan veya ücretsiz Android uygulamaları ararken Telegram botlarıyla etkileşime girer. Bot, kullanıcının telefon numarasını ister ve ardından telefon numarasını içine yerleştiren özelleştirilmiş bir kötü amaçlı APK gönderir. Bu, saldırganların kurbanı daha fazla hedeflemesine ve saldırılarını kişiselleştirmesine, sonuçta finansal kazanç için hassas bilgileri çalıp satmasına olanak tanır.
Zimperium’un zLabs araştırmacıları, C&C kanalları kurmak için kullanılan çeşitli gelişen teknikleri gözlemlediler. Başlangıçta, kötü amaçlı yazılım C&C bağlantıları için Firebase’i kullandı, ancak saldırganlar o zamandan beri C&C ayrıntılarını paylaşmak için GitHub depolarını kullanmaya başladı. Bu depolar, C&C sunucularına URL’ler içeren JSON dosyaları içerir. Ek olarak, GitHub kötü amaçlı APK’ları dağıtmak için kullanılır ve bu da saldırganların uyum yeteneğini daha da gösterir. Kurbanın cihazı yapılandırılmış C&C sunucusuna kaydolduğunda, kötü amaçlı yazılım SMS mesajları ve telefon ayrıntıları dahil olmak üzere kişisel bilgileri çalmaya başlar. Bu bilgiler daha sonra C&C sunucusuna iletilir, burada toplanır ve potansiyel olarak satılır veya başka saldırılar için kullanılır.
Bu kötü amaçlı yazılım kampanyasının ölçeği şaşırtıcı. zLabs araştırmacıları, çok sayıda küresel kurbanı hedef alan verimli bir kampanya olduğunu gösteren 107.000’den fazla benzersiz kötü amaçlı yazılım uygulaması keşfetti. Bu örneklerin çoğu (%95’ten fazlası) bilinmiyor veya ortak havuzlarda bulunmuyor ve bu da saldırganların tespit edilmekten kaçınma yeteneğini vurguluyor. Kampanya, 600’den fazla küresel markadaki OTP mesajlarını hedef aldı ve 113 ülkedeki kullanıcıları etkiledi; Rusya ve Hindistan birincil hedeflerdi. Araştırmacılar, kurban cihazlardan SMS mesajlarını çalmak ve sızdırmak için kullanılan 13 C&C sunucusunu belirledi ve yaklaşık 2.600 Telegram botundan oluşan geniş bir ağı bu kampanyaya bağladı.
Bu kampanyanın arkasındaki kesin nedenler henüz belirsizliğini korurken, finansal kazanç olası bir etkendir. zLabs araştırmacıları, fastsms.su adlı bir web sitesi ile kötü amaçlı yazılım örneklerinden biri arasında bir bağlantı keşfetti. Bu site, telefon numaraları ve OTP müdahalesi de dahil olmak üzere bir dizi hizmeti ücret karşılığında sunuyor. Kripto para biriminin bir ödeme yöntemi olarak kullanılması, saldırganların kimliklerini gizlemeye yardımcı olduğu için finansal nedeni daha da destekliyor.
OTP’leri çalmak için tasarlanmış mobil kötü amaçlı yazılımların yaygınlaşması hem bireyler hem de kuruluşlar için önemli bir tehdit oluşturmaktadır. Bu kampanyanın muazzam ölçeği ve karmaşıklığı, güçlü kurumsal mobil güvenlik çözümlerine olan ihtiyacı vurgulamaktadır. Zimperium’un Mobil öncelikli platformu, bu gelişen tehditlere karşı koruma sağlamak için idealdir. Makine öğrenimi, davranış analizi ve deterministik tekniklerden yararlanan Zimperium’un platformu, kapsamlı tehdit tespiti ve azaltma sağlayarak kuruluşların siber suçluların bir adım önünde kalmasına yardımcı olur. Bunun gibi gelişmiş kampanyalar, kapsamlı bir Mobil Tehdit Savunması (MTD) çözümüyle azaltılabilecek çeşitli güvenlik riskleri ortaya çıkarır. Zimperium tarafından sunulanlar gibi proaktif önlemler, risk maruziyetini anlamak ve hassas bilgileri gelişen, polimorfik kötü amaçlı yazılım kampanyalarından korumak için önemlidir. Zimperium’un MTD çözümünü dağıtan tüm müşteriler, cihazlarının ve verilerinin güvenli kalmasını sağlayarak bu tehlikeli ve gelişen kötü amaçlı yazılım kampanyasından korunur.
Reklam