Cyble Araştırma ve İstihbarat Laboratuarları (CRIL) yakın zamanda, Google Play Store’da 20’den fazla kötü amaçlı uygulamanın, kimlik avı şemalarıyla kripto cüzdan kullanıcılarını hedeflemek için tasarlandığı kötü niyetli bir kripto kimlik avı kampanyası ortaya çıkardı. Bu aldatıcı uygulamalar, iyi bilinen cüzdan platformlarını taklit eder ve kullanıcıları hassas anımsatlı ifadelerini ortaya çıkarmaya ve dijital varlıklarının kontrolünü etkili bir şekilde teslim etmeye yönlendirir.
Kötü niyetli uygulamalar Güvenilir kripto cüzdanlarını taklit etmek
Cril’in raporuna göre, kimlik avı uygulamaları Sushiswap, Pankagewap, hiperiquid ve Raydium gibi popüler kripto cüzdan arayüzlerini taklit etti.


Bu uygulamalar genellikle gerçek platformlara benzeyen cilalı kullanıcı arayüzleri içeriyordu. Kullanıcılar sahte uygulamaları başlattıktan sonra, gerçek kripto cüzdanlarına erişmek için kullanılan kritik bir bilgi parçası olan 12 kelimelik anımsatıcı ifadelerini girmeleri istendi.
Bu kötü amaçlı uygulamalar belirsiz kanallar aracılığıyla dağıtılmadı. Bunun yerine, doğrudan oyun mağazası aracılığıyla sunuldular ve onlara meşruiyet görünümü verdiler.


Cril, tehdit aktörlerinin, bazıları daha önce 100.000’den fazla indirme ile meşru uygulamalar yayınlamış olan tehlikeye atılmış veya yeniden tasarlanmış geliştirici hesaplarından yararlandığını buldu.
Kimlik avı teknikleri ve dağıtım taktikleri
Bu kimlik avı uygulamaları arasında ortak bir konu, kötü amaçlı URL’lerin gizlilik politikalarına dahil edilmesiydi. Birçoğu, tek veya ilgili bir saldırgan grubunun koordineli bir çabasını gösteren benzer paket isimleri ve açıklamaları kullandı. Bu taktikler, uygulamaların gerçek amacını gizlemeye yardımcı oldu ve otomatik algılama sistemlerinden kaçındı.
Uygulamalar, web sitelerinin Android uygulamalarına hızlı bir şekilde dönüştürülmesini sağlayan medyan gibi çerçeveler kullanılarak oluşturuldu. Birçok durumda, kimlik avı web siteleri WebView bileşenleri aracılığıyla uygulamalara yüklendi. Örneğin, kullanılan URL’lerden biri hxxps: //pancakefentfloyd.cz/api.phpPankagewap’ı taklit eden ve kullanıcıları anımsatıcı cümlelerini girmelerini istedi.


Daha fazla teknik analiz, kimlik avı alanlarından birini (94.156.177.209) barındıran IP adresinin, bu kampanyanın ne kadar geniş ve organize olduğunu gösteren 50’den fazla kimlik avı alanıyla bağlantılı olduğunu ortaya koydu.
Belirlenen kötü amaçlı uygulamaların listesi
Cril’in ayrıntılı arızası, aşağıdakileri içeren düzinelerce kötü amaçlı uygulamayı içeriyordu:
- Gözleme takası (co.median.android.pkmxaj)
- Suiet cüzdan (co.median.android.ljqjry)
- Hiperiquid (co.median.android.jroylx)
- Raydium (co.median.android.yakmje)
- Bullx Crypto (co.median.android.ozjwka)
- OpenoCean Exchange (Co.median.android.ozjjkx)
- Meteora Exchange (Co.median.android.kbxqaj)
- Sushiswap (co.median.android.pkezyz)
Buna ek olarak, iki uygulama farklı adlandırma kuralları kullandı, ancak aynı kötü niyetli niyeti paylaştı: Raydium (Cryptoknowledge.rays) ve PankageWap (com.cryptoknowledge.quizzz), her ikisi de terimsfeed ile barındırılan aynı kimlik avı gizlilik politikasına bağlandı.
Koordineli bir kripto kimlik avı operasyonu
Bu sadece düşük seviyeli dolandırıcılar tarafından dağınık bir girişim değildir. Bu uygulamaların arkasındaki altyapı, 50’den fazla ilişkili kimlik avı alanına sahip, kripto para birimi kullanıcılarının büyüyen tabanını hedefleyen iyi düzenlenmiş bir kimlik avı operasyonunu gösterir. Play Store gibi güvenilir bir platformda meşru uygulamaları taklit ederek, bu saldırganlar kullanıcıların güvenini ihlal edebildiler ve geleneksel güvenlik önlemlerinden kaçındı.
Bir kullanıcı bu tür bir kripto kimlik avı saldırısı için düşer ve anımsatıcı ifadelerini gönderirse, saldırganlar hemen kripto cüzdanlarına ve aktarma fonlarına hemen geri döndürülmez. Geleneksel banka işlemlerinden farklı olarak, kripto transferleri genellikle tamamlandıktan sonra iyileşme için herhangi bir başvuru sunmaz.
Çözüm
Bu tür kripto kimlik avı saldırılarına karşı korunmak için, kullanıcılara temel güvenlik uygulamalarını takip etmeleri şiddetle tavsiye edilir: yalnızca doğrulanmış geliştiricilerden uygulamaları indirin, anımsatıcı ifadeler gibi hassas ayrıntıları talep etmekten kaçının ve özellikle yakın zamanda yayınlanan uygulamalar için uygulama derecelendirmelerini ve özgünlüğünü dikkatlice inceleyin. Google Play Protect’i etkinleştirmek, güvenilir antivirüs yazılımı kullanma, çok faktörlü kimlik doğrulamasını etkinleştirme ve mümkün olduğunda biyometrik güvenlik özelliklerini kullanma ek savunma katmanları sağlayabilir. Kullanıcılar ayrıca SMS veya e -posta yoluyla alınan şüpheli bağlantıları tıklamaktan kaçınmalıdır.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.