Türk Hükümeti web sitesi Android RAT’ı yayıyor! Siber suçlular buna inanmamızı istedi.
Cyble Research & Intelligence Labs (CRIL) bir kimlik avı sitesi ortaya çıkardı şüphelenmeyen kullanıcıları aldatan ve tehlikeli bir Android Uzaktan Erişim Truva Atı (RAT) dağıtan Türk Hükümeti web sitesini taklit eden.
Kimlik avı sitesi, hxxps://scanyalx[.]çevrimiçi, özellikle e-Devlet kapısı (turkiye.gov.tr) web sitesini taklit ederek Türkiye’den meşru bir hükümet platformu gibi görünüyor.
e-Devlet kapısı, Türkiye’de gerçek bir devlet sitesidir ve vatandaşlara sosyal güvenlik belgeleri, adli tıp, trafik faturaları, vergi borçları ve daha fazlası dahil olmak üzere çeşitli devlet hizmetlerine erişim sağlar.
CRIL raporuna göre, RAT’ın virüslü cihazlara yetkisiz erişim sağlama, keylogging yoluyla kullanıcı etkinliğini izleme ve cihazı VNC aracılığıyla uzaktan kontrol etme yeteneği, kurbanların mahremiyeti ve güvenliği için önemli riskler oluşturuyor.
Bu tür kötü niyetli faaliyetler, hassas kişisel ve finansal bilgilerin çalınmasına, gizli verilere yetkisiz erişime ve aynı ağa bağlı diğer cihazların potansiyel olarak ele geçirilmesine neden olabilir.
Sahte Türk Hükümeti Web Sitesi Android RAT’ı Yayıyor
Bir Türk Hükümeti web sitesinin Android RAT’ı yaydığı pek olası olmayan durum, bir kopya ile resmi platformla ilişkili güvenden yararlanılarak yaratılmıştır.
Kampanyanın arkasındaki tehdit aktörleri, gerçek devlet web sitesine çok benzeyen aldatıcı bir kimlik avı sitesi hazırlayarak kullanıcıların sitenin dolandırıcılık niteliğini fark etmesini zorlaştırdı.
Kimlik avı sitesi, kullanıcıları Kart Ücreti Ödeme Sistemi iadelerini doğrulamaya yönlendirerek ve kimlik bilgilerini vermelerini isteyerek kullanıcıları aldatmak için zekice bir taktik uygulamaktadır.
Mağdurlar, kimlik bilgilerini girdikten sonra, ödenmemiş “5420 TL” (Türk Lirası) miktarına ilişkin bir uyarı görüntüleyen başka bir web sayfasına yönlendirilir. Ödeme için anında geri ödeme almak için mağdurlara siteden bir uygulama indirmeleri talimatı verilir.
“İndirmek İçin Tıklayın” düğmesine tıklandığında, kimlik avı sitesi “edevletiadesistemi.apk” adlı kötü niyetli bir APK dosyasının indirilmesini başlatır.
İlginç bir şekilde, mağdurların kimlik bilgilerini girip indirme sayfasını her ziyaret edişlerinde kötü niyetli APK dosyasının “edevlet.apk” ve “cimer.apk” gibi farklı isimlerle indirildiği gözlemlendi.
CRIL raporunda, “İndirilen kötü amaçlı dosyanın daha ayrıntılı incelenmesi sonucunda, kötü amaçlı yazılımın bir Komuta ve Kontrol (C&C) sunucusundan alınan komutlara dayalı olarak çalışan bir RAT olduğu belirlendi.”
“Bu RAT’ı özellikle tehlikeli yapan şey, VNC (Sanal Ağ Hesaplama) ve keylogging gibi özellikler de dahil olmak üzere, çok çeşitli kötü niyetli faaliyetleri şüphe uyandırmadan gizlice gerçekleştirmesini sağlayan gelişmiş işlevselliğidir.”
Kötü amaçlı APK dosyasının teknik analizi
Aldatıcı derecede basit bir süreçte, mağdurlara siteden bir uygulama indirmeleri talimatı verilir.