Play Store’da bulunan kötü amaçlı cüzdan uygulamaları

   Haziran 9, 2025  Posted in ThecyberExpress


Cyble Araştırma ve İstihbarat Laboratuarları (CRIL) yakın zamanda, Google Play Store’da 20’den fazla kötü amaçlı uygulamanın, kimlik avı şemalarıyla kripto cüzdan kullanıcılarını hedeflemek için tasarlandığı kötü niyetli bir kripto kimlik avı kampanyası ortaya çıkardı. Bu aldatıcı uygulamalar, iyi bilinen cüzdan platformlarını taklit eder ve kullanıcıları hassas anımsatlı ifadelerini ortaya çıkarmaya ve dijital varlıklarının kontrolünü etkili bir şekilde teslim etmeye yönlendirir.

Kötü niyetli uygulamalar Güvenilir kripto cüzdanlarını taklit etmek

Cril’in raporuna göre, kimlik avı uygulamaları Sushiswap, Pankagewap, hiperiquid ve Raydium gibi popüler kripto cüzdan arayüzlerini taklit etti.

kripto kimlik avı sushiswap cüzdankripto kimlik avı sushiswap cüzdan
Sushiswap cüzdanını taklit eden kötü niyetli uygulama (Kaynak: Cyble)

Bu uygulamalar genellikle gerçek platformlara benzeyen cilalı kullanıcı arayüzleri içeriyordu. Kullanıcılar sahte uygulamaları başlattıktan sonra, gerçek kripto cüzdanlarına erişmek için kullanılan kritik bir bilgi parçası olan 12 kelimelik anımsatıcı ifadelerini girmeleri istendi.

Bu kötü amaçlı uygulamalar belirsiz kanallar aracılığıyla dağıtılmadı. Bunun yerine, doğrudan oyun mağazası aracılığıyla sunuldular ve onlara meşruiyet görünümü verdiler.

Google Play Store'da kripto kimlik avıGoogle Play Store'da kripto kimlik avı
Geliştirici hesabı daha önce oyun uygulamalarını barındırıyor ve şimdi bir kötü amaçlı kimlik avı uygulaması dağıtıyor (Kaynak: Cyble)

Cril, tehdit aktörlerinin, bazıları daha önce 100.000’den fazla indirme ile meşru uygulamalar yayınlamış olan tehlikeye atılmış veya yeniden tasarlanmış geliştirici hesaplarından yararlandığını buldu.

Kimlik avı teknikleri ve dağıtım taktikleri

Bu kimlik avı uygulamaları arasında ortak bir konu, kötü amaçlı URL’lerin gizlilik politikalarına dahil edilmesiydi. Birçoğu, tek veya ilgili bir saldırgan grubunun koordineli bir çabasını gösteren benzer paket isimleri ve açıklamaları kullandı. Bu taktikler, uygulamaların gerçek amacını gizlemeye yardımcı oldu ve otomatik algılama sistemlerinden kaçındı.


Tarayıcınız video etiketini desteklemez.

Uygulamalar, web sitelerinin Android uygulamalarına hızlı bir şekilde dönüştürülmesini sağlayan medyan gibi çerçeveler kullanılarak oluşturuldu. Birçok durumda, kimlik avı web siteleri WebView bileşenleri aracılığıyla uygulamalara yüklendi. Örneğin, kullanılan URL’lerden biri hxxps: //pancakefentfloyd.cz/api.phpPankagewap’ı taklit eden ve kullanıcıları anımsatıcı cümlelerini girmelerini istedi.

kripto kimlik avıkripto kimlik avı
Birden çok kimlik avı alanını barındıran IP (Kaynak: Cyble)

Daha fazla teknik analiz, kimlik avı alanlarından birini (94.156.177.209) barındıran IP adresinin, bu kampanyanın ne kadar geniş ve organize olduğunu gösteren 50’den fazla kimlik avı alanıyla bağlantılı olduğunu ortaya koydu.

Belirlenen kötü amaçlı uygulamaların listesi

Cril’in ayrıntılı arızası, aşağıdakileri içeren düzinelerce kötü amaçlı uygulamayı içeriyordu:

  • Gözleme takası (co.median.android.pkmxaj)
  • Suiet cüzdan (co.median.android.ljqjry)
  • Hiperiquid (co.median.android.jroylx)
  • Raydium (co.median.android.yakmje)
  • Bullx Crypto (co.median.android.ozjwka)
  • OpenoCean Exchange (Co.median.android.ozjjkx)
  • Meteora Exchange (Co.median.android.kbxqaj)
  • Sushiswap (co.median.android.pkezyz)

Buna ek olarak, iki uygulama farklı adlandırma kuralları kullandı, ancak aynı kötü niyetli niyeti paylaştı: Raydium (Cryptoknowledge.rays) ve PankageWap (com.cryptoknowledge.quizzz), her ikisi de terimsfeed ile barındırılan aynı kimlik avı gizlilik politikasına bağlandı.

Koordineli bir kripto kimlik avı operasyonu

Bu sadece düşük seviyeli dolandırıcılar tarafından dağınık bir girişim değildir. Bu uygulamaların arkasındaki altyapı, 50’den fazla ilişkili kimlik avı alanına sahip, kripto para birimi kullanıcılarının büyüyen tabanını hedefleyen iyi düzenlenmiş bir kimlik avı operasyonunu gösterir. Play Store gibi güvenilir bir platformda meşru uygulamaları taklit ederek, bu saldırganlar kullanıcıların güvenini ihlal edebildiler ve geleneksel güvenlik önlemlerinden kaçındı.

Bir kullanıcı bu tür bir kripto kimlik avı saldırısı için düşer ve anımsatıcı ifadelerini gönderirse, saldırganlar hemen kripto cüzdanlarına ve aktarma fonlarına hemen geri döndürülmez. Geleneksel banka işlemlerinden farklı olarak, kripto transferleri genellikle tamamlandıktan sonra iyileşme için herhangi bir başvuru sunmaz.

Çözüm

Bu tür kripto kimlik avı saldırılarına karşı korunmak için, kullanıcılara temel güvenlik uygulamalarını takip etmeleri şiddetle tavsiye edilir: yalnızca doğrulanmış geliştiricilerden uygulamaları indirin, anımsatıcı ifadeler gibi hassas ayrıntıları talep etmekten kaçının ve özellikle yakın zamanda yayınlanan uygulamalar için uygulama derecelendirmelerini ve özgünlüğünü dikkatlice inceleyin. Google Play Protect’i etkinleştirmek, güvenilir antivirüs yazılımı kullanma, çok faktörlü kimlik doğrulamasını etkinleştirme ve mümkün olduğunda biyometrik güvenlik özelliklerini kullanma ek savunma katmanları sağlayabilir. Kullanıcılar ayrıca SMS veya e -posta yoluyla alınan şüpheli bağlantıları tıklamaktan kaçınmalıdır.

Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber ​​Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.



Source link