Cyble Research and Intelligence Labs (CRIL), “InTheBox” adlı bir grup siber suçlunun eylemlerini izleyen bir güvenlik araştırma kuruluşudur.
Bu grup öncelikle, bilgisayar korsanlığı, dolandırıcılık ve diğer siber suç türleri gibi yasa dışı faaliyetlerde bulundukları Rusça bir siber suç forumunda aktiftir.
InTheBox, anonimleştirme ağı Tor aracılığıyla erişilebilen bir çevrimiçi mağaza işletmektedir. Bu mağaza, “web enjeksiyonları” gibi siber suçları gerçekleştirmek için araçlar ve hizmetler satmaktadır.
Bu web enjeksiyonları, bankacılık faaliyetleri için virüslü Android cihazları kullanan kurbanlardan hassas bilgileri manipüle etmek ve çalmak için kullanılabilecek kötü amaçlı kod parçalarıdır.
Mağaza, çeşitli Android bankacılık kötü amaçlı yazılımlarıyla uyumlu yeni web enjeksiyonları ekleyerek envanterini genişletiyor. Bu web enjeksiyonları, düşük fiyatlarla ve cazip indirimlerle satılıyor ve bu da onları diğer siber suçlular için çekici kılıyor.
Tehdit Aktörü, perakende bankacılık, mobil ödeme platformları, kripto para borsaları ve aşağıdakiler gibi birçok ülkede tanınmış şirketler tarafından yürütülen e-ticaret uygulamaları dahil olmak üzere çeşitli finansal hizmet türlerini tehlikeye atmayı amaçlayan web enjeksiyonları sağladı:-
- Avustralya
- Brezilya
- Hindistan
- Endonezya
- Japonya
- Kuveyt
- Malezya
- Filipinler
- Katar
- Suudi Arabistan
- Singapur
- Tayland
- Birleşik Devletler
Android Mobil Uygulaması Web Enjeksiyon Paketleri
InTheBox, Şubat 2020’den bu yana Android mobil uygulamaları için web enjeksiyonları satma konusunda doğrulanmış bir geçmişe sahip, siber suç pazarında köklü bir oyuncudur.
Kötü amaçlı ürünlerinin satışı için anonim ve güvenli bir platform sağlayan Tor ağı üzerinden erişilebilen bir çevrimiçi mağaza işletiyorlar. Mağaza otomatiktir ve web enjeksiyonları satın almak isteyen müşteriler için hızlı ve verimli işlemlere olanak tanır.
Sınırsız web enjeksiyon paketlerinin fiyatları çevrimiçi mağazada şu şekilde listelenmiştir:-
- 6.512 USD karşılığında Alien, Ermac, Octopus ve MetaDroid ile uyumlu 814 web enjeksiyonu
- 3.960 USD karşılığında Cerberus ile uyumlu 495 web enjeksiyonu
- 4.680 USD karşılığında Hydra ile uyumlu 585 web enjeksiyonu
InTheBox, tekli web enjeksiyonlarının maliyetini her biri için 50 USD’den 30 USD’ye düşürdü. Ek olarak, herhangi bir bankacılık kötü amaçlı yazılım botu için özelleştirilmiş bir web enjeksiyonu geliştirme hizmeti de sunarlar.
Arşiv Olarak Paylaşılan Web Enjeksiyonları
InTheBox, tipik olarak sıkıştırılmış bir arşivde paketlenmiş web enjeksiyonları sağlar. Arşiv iki öğe içerir: –
- PNG formatında bir uygulama simgesi
- Bir HTML dosyası
InTheBox tarafından sunulan web enjeksiyonlarında bulunan HTML dosyası, kimlik bilgileri ve veriler gibi hassas bilgileri toplamak için tasarlanmış JavaScript kodunu içerir.
Kod, mobil uygulamaya entegre edilmiş kötü amaçlı bir yer paylaşımlı arabirim aracılığıyla yürütülür. Bu bindirme arayüzü, kullanıcıyı hassas bilgilerini girmesi için kandırarak bir giriş formu olarak gizler.
Çoğu durumda, InTheBox tarafından sağlanan web enjeksiyonları, kullanıcıya bir form olarak görünen ikincil bir yer paylaşımlı arayüz içerir. Bu form, kullanıcıdan aşağıdakiler gibi hassas bilgileri girmesini ister:-
- Kredi kartı numaraları
- Son kullanma tarihleri
- CVV numaraları
InTheBox’ın web enjeksiyonlarındaki JavaScript çağrı işlevlerinin incelenmesi, bir model ortaya çıkardı. Model, Brezilya’daki bireyler tarafından kullanılan bir bankacılık uygulamasından kimlik bilgilerini toplamak amacıyla geliştirilen benzer bir JS gömülü HTML android web enjeksiyonunun varlığını gösterdi.
Web enjeksiyonu, bankacılık uygulaması içinde bir yer paylaşımlı arayüz olarak görünecek ve kullanıcıları hassas bilgilerini girmeleri için kandırarak web enjeksiyonunun JavaScript kodu tarafından toplanacak şekilde tasarlandı.
Ek olarak, Brezilya bankacılık uygulaması web inject’te bulunan çağrı işlevlerinin aynısının başka bir Android web inject’te de kullanıldığı kaydedildi. Bu ikinci web enjeksiyonu, İspanya’daki bireyler tarafından kullanılan bir mobil bankacılık uygulamasını hedef aldı ve Ocak 2023’te keşfedildi.
Web enjeksiyonunda bulunan JavaScript kodunun bir C&C sunucusuyla iletişim kurduğu gözlemlendi. Sunucu, Moldova merkezli bir offshore barındırma hizmeti olan MivoCloud SRL’de barındırılıyordu ve adresi şuydu:-
- http[:]//194[.]180[.]174[.]127/uadmin/gate.php
Ocak 2023’te keşfedilen web enjeksiyonunun hedeflediği İspanyol bankası mobil uygulaması da yakın zamanda başka bir web enjeksiyonunun hedefi oldu. Bu ikinci web enjeksiyonunun, şu adreste bulunan bir Komuta ve Kontrol (C&C) sunucusuyla iletişim kurduğu gözlemlendi: –
- http[:]//85[.]31[.]46[.]136/uadmin/gate.php
C&C sunucusu, tanınmış bir etki alanı kayıt şirketi ve web barındırma sağlayıcısı olan Namecheap tarafından barındırılıyordu.
öneriler
Aşağıda, güvenlik uzmanları tarafından sunulan tüm önerilerden bahsetmiştik: –
- Uygulamaları yalnızca resmi mağazalardan indirdiğinizden emin olun.
- Her zaman lisanslı Anti-virüsler kullanın.
- Cihazınızı en son güvenlik güncellemeleri ve yamaları ile güncel tuttuğunuzdan emin olun.
- Bilinmeyen kaynaklardan gelen mesajlar veya e-postalar yoluyla alınan bilinmeyen bağlantıları açmayın.
- Android cihazınızda Google Play Protect’i etkinleştirdiğinizden emin olun.
- Uygulamalara izin verirken dikkatli olun.
- Yüklü uygulamalarınızı her zaman güncel tutun.
- Sorunları çözmek için işlemin bir parçası olarak cihazda fabrika ayarlarına sıfırlayın.
- Fabrika ayarlarına sıfırlama mümkün değilse, başka bir alternatif de uygulamayı kaldırmaktır.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin