“FakeCalls” adlı bir Android Truva Atı, Check Point Araştırma ekibi tarafından tespit edildi. Bu kötü amaçlı yazılım, 20’den fazla finansal uygulamadan biri gibi davranabilir ve banka veya finansal hizmet çalışanları ile yapılan telefon görüşmelerini taklit edebilir. Bu taktik sesli kimlik avı olarak bilinir.
Güney Kore pazarı, kurbanın cihazından hassas bilgiler alırken aynı zamanda asıl amacına ulaşabilecek olan FakeCalls kötü amaçlı yazılımının İsviçre çakısı benzeri yeteneklerinin hedefiydi.
Check Point Araştırma ekibi, “Benzetilmiş finansal kuruluşların çeşitli kombinasyonlarını kullanan ve anti-analiz teknikleri uygulayan FakeCalls kötü amaçlı yazılımının 2500’den fazla örneğini keşfettik” dedi.
“Kötü amaçlı yazılım geliştiricileri, daha önce vahşi doğada görmediğimiz birkaç benzersiz kaçırma kullanarak kötü amaçlı yazılımlarının korunmasına özel önem verdiler.”
Sesle Kimlik Avı Nasıl Çalışır?
Güney Kore pazarında sesli kimlik avı saldırıları yeni değil. Güney Kore hükümetinin web sitesinde yayınlanan bir rapora göre, 2020’de sesli kimlik avı yaklaşık 600 milyon dolarlık mali kayba neden oldu ve 2016 ile 2020 arasında 170.000 kişi tuzağa düştü.
Kimlik avı, kara SEO veya kötü amaçlı reklamcılık kullanılarak saldırının ilk aşaması olarak kurbanın cihazına kötü amaçlı yazılım yüklenebilir.
FakeCalls kötü amaçlı yazılımı, önemli Kore finans kuruluşları gibi görünen sahte bankacılık uygulamalarına yayılarak kurbanların saygın bir satıcının orijinal uygulamasını kullandıklarına inanmasına neden oluyor.
Uygulama, saldırıyı başlatmak için kurbana düşük faizli bir kredi sunuyor. Kurban ilgi gösterdikten sonra, kötü amaçlı yazılım bir arama yapar ve bankanın gerçek müşteri hizmetleri temsilcisinin kredi talebinin nasıl kabul edileceğine dair talimatlar verdiği bir kaydı çalar.
Ancak kötü amaçlı yazılım, saldırganların arayan numarasını gizleyebilir ve bunun yerine sahte bankanın gerçek numarasını görüntüleyerek tartışmanın gerçekmiş gibi görünmesini sağlayabilir.
Kurban, sonunda, daha sonra saldırganlar tarafından alınan ve sözde krediyi almak için gerekli olan kredi kartı bilgilerini vermesi için kandırılır.
CheckPoint araştırmacıları, “Kurbanlar FakeCalls kötü amaçlı yazılımını yüklediklerinde, sağlam bir kuruluşun “güvenilir” internet bankacılığı uygulamasında bazı gizli yakalamaların bulunduğundan şüphelenmek için hiçbir nedenleri yok” diye açıklıyor.
Ayrıca, kötü amaçlı yazılım operatörüyle yapılan bir telefon görüşmesi yerine banka talimatları gibi görünen önceden kaydedilmiş bir ses klibi oynatılabilir.
Anti-Analiz Teknikleri
FakeCalls, tespit edilmekten kaçınmasına yardımcı olmak için üç yeni strateji içerir. “Çoklu disk” olarak adlandırılan ilk yöntem, otomatik analiz araçlarını kandırmak için EOCD kaydına anormal derecede yüksek değerler koyarak APK (Android paketi) dosyasının ZIP başlık verilerini değiştirmektir.
İkinci kaçınma yöntemi, AndroidManifest.xml dosyasının başlangıç işaretçisini algılanamaz olacak şekilde değiştirmeyi, dizelerin ve stillerin yapısını değiştirmeyi ve hatalı bir yorumlamaya yol açacak şekilde son dizenin ofsetini kurcalamayı içerir.
APK’nın varlık klasörü, üçüncü kaçırma tekniği olarak iç içe geçmiş dizinlerin içine çok sayıda dosya eklemek için kullanılır, bu da dosya adlarının ve yollarının 300 karakterden uzun olmasına neden olur. Uzmanlara göre bu, bazı güvenlik araçlarında sorunlara neden olarak kötü amaçlı yazılımı bulmalarını zorlaştırabilir.
Son düşünceler
Sesle kimlik avı, hükümet istatistiklerine göre yalnızca 2020’de Güney Kore’deki kurbanlara 600 milyon dolara mal olan bir sorundur ve 2016 ile 2020 arasında belgelenmiş 170.000 kurban olmuştur.
Bu nedenle araştırmacılar, bu belirli kötü amaçlı yazılımda kullanılan tekniklerin ve stratejilerin, diğer küresel pazarları hedefleyen çeşitli uygulamalara uygulanabileceğini söylüyor.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin
İlgili Okuma: