Bir Infostealer ve Bankacılık Truva atı, Facebook gruplarında “aktif yaşlıları” hedefleyen turlar yapıyor.
Saldırganlar, seyahat, dans dersleri ve topluluk toplantıları gibi seyahat ve topluluk faaliyetlerini teşvik etmek için görünen sahte Facebook gruplarına katılmak için sosyal mühendislik yöntemlerini kullandılar. İnsanlar katıldıktan sonra, teklif edilen etkinlikler için “kayıt” yapmak için bir Android uygulaması indirmeye davet edildi.
TehditFabric’teki araştırmacılar, bu iddiada oluşturulan, AI tarafından üretilen içerikle stoklanan ve kullanıcıları kötü amaçlı yazılımları indirmek için kandırmak için stoklanan çok sayıda Facebook grubu buldular. Uygulama isimleri arasında Senior Group, Live Years, Activesenior ve Dancewave vardı. Bazı durumlarda, kurbanlardan aynı web sitesinde kayıt ücreti ödemeleri istendi ve kimlik avı ve kart detay hırsızlığına yol açtı.
Bu indirmeleri barındıran sunuculardan biri şu adreste bulunuyordu. download.seniorgroupapps[.]com.
Bazen siber suçlular Messenger veya WhatsApp aracılığıyla bir takip mesajı göndererek kötü amaçlı uygulamalar için indirme bağlantılarını paylaştı.
Genellikle bu Datzbro Trojan olurdu, ancak bazen kurbanlar, Google’ın Android 13 ve sonraki sürümlerinde tanıtılan güvenlik kısıtlamalarını atlayabilen bir truva damlası olan Zombinder ile vuruldu.
Datzbro ne yapabilir
Araştırmacılar, DatZbro’nun hem casus yazılım hem de bankacılık truva atlarına benzer yetenekleri olduğunu buldular – özellikle banka hesaplarını boşaltmak için tasarlandı.
Yüklendikten sonra, bu Android kötü amaçlı yazılım şunları yapabilir:
- Ses ve videoyu kaydedin, dosyalara ve fotoğraflara erişin.
- Şifreleri çalmak ve saldırganlara göndermek için diğer uygulamaları taklit eden kimlik avı kaplamalarını görüntüleyin.
- Saldırganların ekranın kilitlenmesi veya kilidini açma dahil olmak üzere enfekte android cihazları uzaktan kontrol etmesine izin verin.
Araştırmacılar kodu analiz ettiler ve muhtemelen Çin’de geliştirildiğinden şüphelendi, ancak daha sonra sızdı ve daha geniş siber suçlu gruplar tarafından yeniden kullanıldı. Kampanya, Avustralya, Singapur, Malezya, Kanada, Güney Afrika ve İngiltere dahil olmak üzere dünya çapında kurbanlara ulaştı.
Facebook Gruplarında Nasıl Güvenli Kalınır
Bu kampanyaya katılan Facebook gruplarının çoğu devredilmiş olsa da, başkaları da olabilir. Kendinizi korumak için:
- Bir Facebook grubunun geçmişini kontrol edin ve kötü niyetli amaçlar için yeni ayarlanmış olabilir. Ne yazık ki, katılmadan önce bir grubun yaşını kontrol etmek mümkün değildir, ancak üye olduğunuzda, tarihi görevlerin veya sabitlenmiş yayınların tarihlerine bakın.
- Bu tür gruplar tarafından veya gerçekten tanımadığınız kişilerden özel mesajlar tarafından sağlanan bağlantıları veya uygulamaları takmayın.
- Özellikle mobil cihazlarınızda güncel gerçek zamanlı uygulama önleyici korumayı kullanın.
- Şüpheli veya çok iyi-gerçek vaatler sunan gruplara karşı dikkatli olun.
- Profesyonellik veya kırmızı bayraklar için bir grubun açıklamasını ve kurallarını kontrol edin.
Grupların çoğunun bir “iOS uygulaması” indirmek için bir düğme içerdiğini belirtmek gerekir. Bunlar o zamanlar sadece yer tutuculardı, ancak iPhone kullanıcılarını hedefleme planlarının da olduğuna dair bir gösterge olabilir.
Uzlaşma Göstergeleri (IOCS)
Kötü niyetli uygulama şu isimleri kullandı:
Kıdemli grup
Canlı yıllar
Aktif
Dans dalgası
Ve bu paket adları:
twzlibwr.rlrkvsdw.bcfwgozi
orgLivelyYears.browses646
com.forest481.security
inedpnok.kfxuvnie.mggfqzhl
Sadece telefon güvenliği hakkında rapor vermiyoruz – bunu sağlıyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. İOS için MalwareBebytes ve bugün Android için Malwarebytes’i indirerek tehditleri mobil cihazlarınızdan uzak tutun.