Dolandırıcılık Yönetimi ve Siber Suç , Coğrafi Odak: Asya , Coğrafi Konuma Özgü
Çince Konuşan Bilgisayar Korsanları, Uygulama İndirmeleri Yoluyla Mobil Bankacılık Müşterilerini Hedefliyor
Jayant Chakraborty (@JayJay_Tech) •
30 Haziran 2023
Şüpheli Çinli tehdit aktörleri, mobil bankacılık kötü amaçlı yazılımlarını Asyalı kullanıcıların cihazlarına yüklemek için popüler anlık mesajlaşma uygulamaları Kik ve Viber için sahte web reklamları kullanıyor.
Ayrıca bakınız: Firmalar Tepki Stratejisi Olarak Neden Güvenliğe Yatırım Yapmalı?
Siber güvenlik şirketi Cyberint’teki araştırmacılar, kısa bir süre önce, Çince konuşan tehdit aktörlerinin, mesajlaşma uygulamalarını indirmek için kötü amaçlı reklamlar olarak gizleyerek iki üçüncü taraf Android Paket Kiti sitesinde dağıttıkları mobil bankacılık kötü amaçlı yazılımlarını belirlediklerini söyledi.
Cyberint’in kötü amaçlı yazılımın kaynak koduna ilişkin analizi, saldırının Asya ülkelerine yönelik olduğunu ortaya çıkardı.
Kanadalı şirket Kik Interactive tarafından geliştirilen Kik Messenger, 15 milyona yakın aktif kullanıcısı olan ücretsiz bir anlık mesajlaşma mobil uygulamasıdır. Japon şirketi Rakuten tarafından geliştirilen Viber, Asya-Pasifik bölgesindeki geniş bir müşteri tabanı da dahil olmak üzere dünya çapında 1,1 milyardan fazla kullanıcısı olan popüler bir çapraz platform VoIP ve anlık mesajlaşma uygulamasıdır.
Cyberint, bu nedenle kötü amaçlı yazılım kampanyasının “bölgedeki kullanıcılar için önemli bir risk” oluşturduğunu söyledi.
Bir kullanıcı kötü amaçlı bir APK dosyasını indirdiğinde, dosya, kötü amaçlı yazılımın virüslü cihazda serbestçe çalışabilmesini sağlamak için kullanıcılardan Erişilebilirlik Hizmeti aracılığıyla “izinlerin otomatik olarak verilmesini” onaylamasını ister. Kötü amaçlı yazılım yüklendikten sonra Vietnam’ın TPBank, VietinBank iPay ve MB Bank mobil uygulamalarıyla ilgili etkinlikleri arar ve kimlik bilgilerini ve diğer bilgileri toplar.
Kötü amaçlı yazılım, kurbanın hesap bakiyesini, cihaz parolasını, kişileri, SMS verilerini, fotoğrafları ve halihazırda yüklü olan uygulamaların bir listesini alabilir. Kötü amaçlı yazılım ayrıca ekran görüntüleri ve kayıtlar alabilir ve verileri uzaktaki bir komuta ve kontrol sunucusuna sızdırabilir.
Tehdit aktörleri, virüs bulaşmış mobil cihazlardan elde edilen verilerle dolu bir kontrol paneli tuttu. Bu veri türleri, bir mobil cihazın markasını, saat dilimini ve dilini, enfeksiyon durumunu ve zaman damgasını, mevcut mevcut bakiyeyi, makine kodunu, bir cihazın çevrimiçi veya çevrimdışı olup olmadığını ve ekranın kilitli olup olmadığını içeriyordu.
Cyberint, kötü amaçlı yazılım kodunun ve kötü amaçlı yazılımın komut ve kontrol sunucusuyla iletişim kurmaktan sorumlu işlevin Çince yazılmış karakterler içerdiğini söyledi. Bu, tehdit aktörlerinin Çince yazılmış gösterge panosunun ekran görüntüsüyle birlikte, araştırmacıların Asyalı kullanıcıları hedefleyen bankacılık kötü amaçlı yazılım kampanyasının arkasında Çince konuşan bireylerin veya grupların olduğunu varsaymasına yol açtı.
Cyberint, “Popüler mesajlaşma uygulamalarını taklit eden bu mobil kötü amaçlı yazılımın keşfi, özellikle Asya’daki mobil Android bankacılığı kullanıcıları için önemli bir tehdit oluşturuyor. Bilgi hırsızlığı yetenekleri ve hedeflenen odak noktası, artırılmış siber güvenlik önlemleri, kullanıcı eğitimi ve proaktif savunma stratejileri ihtiyacını vurguluyor.” söz konusu.
Güvenlik araştırmacıları Emily Dennison ve Alana Witten, 2022’nin sonlarında, perakende, bankacılık, seyahat, ilaç, seyahat ve enerji sektörlerinde faaliyet gösteren çok sayıda işletmenin alan adlarını taklit eden binlerce sahte etki alanı kullanan, Fangxiao adlı, finansal olarak motive olmuş bir Çin tehdit grubunu keşfetti.
Fangxiao, bu alanlarda sahte anketler yürüttü ve ziyaretçileri aslında Triada kötü amaçlı yazılımı olan bir uygulamayı indirmeye çekmek için ödüller vaat etti. 2016’dan beri kullanımda olan Triada, siber suçlulara virüs bulaşmış cihazlara root erişimi sağlıyor ve onların bankacılık bilgilerini ve diğer cihaz verilerini çalmalarına ve ek kötü amaçlı yazılım indirmelerine olanak tanıyor.