SeedSnatcher dünya çapındaki kripto para birimi kullanıcıları için önemli bir tehdit oluşturuyor. Görünüşte masum “Coin” adı altında paketlenen ve Telegram aracılığıyla dağıtılan bu Android kötü amaçlı yazılımı, özellikle dijital cüzdan kurtarma kodlarını çalmak ve virüslü cihazlarda uzaktan komutlar yürütmek için tasarlanmış karmaşık bir araç olarak ortaya çıktı.
Com.pureabuladon.auxes paket adı altında kaydedilen kötü amaçlı yazılım, basit veri hırsızlığının çok ötesine uzanan endişe verici yeteneklere sahip koordineli bir kampanya olarak çalışıyor.
Saldırı, tanıtım ekiplerinin kurulumları izlemek ve kurbanları yönetmek için benzersiz aracı tanımlayıcıları kullandığı aldatıcı bir dağıtım modeli aracılığıyla gerçekleşiyor.
SeedSnatcher’ı özellikle tehlikeli kılan şey, güvenlik önlemlerinden kaçmaya yönelik çok katmanlı yaklaşımıdır.
Kötü amaçlı yazılım başlangıçta SMS erişimi gibi minimum izinler talep ediyor, ancak yüklendikten sonra hassas bilgilere erişim sağlamak için ayrıcalık düzeyini sistematik olarak yükseltiyor.
.webp)
Bu kademeli izin artışı şüpheyi azaltırken kurbanın cihazında kalıcı bir dayanak noktası oluşturuyor.
.webp)
Kötü amaçlı yazılımın teknik mimarisi, Android’den yararlanma konusundaki derin uzmanlığı ortaya koyuyor. Açıklayıcı işlem adları yerine dinamik sınıf yüklemesinden, gizli Web Görünümü içerik enjeksiyonundan ve tamsayılar olarak kodlanmış komut ve kontrol talimatlarından yararlanır. Bu sayısal gizleme, güvenlik algılama sistemlerini önemli ölçüde engeller.
Cyfirma güvenlik analistleri, kötü amaçlı yazılımın apivbe685jf829jf adresindeki komut sunucusuyla sürekli WebSocket iletişimini sürdürdüğünü tespit etti[.]a2decxd8syw7k[.]uzaktan görevlendirme için gerçek zamanlı iki yönlü iletişime olanak tanır.
SeedSnatcher’ın arkasındaki operatörlerin Çin merkezli veya Çince konuşan tehdit aktörleri olduğu görülüyor; bu da gösteriler sırasında tamamen Çince olarak sunulan kullanıcı arayüzünün kanıtladığı bir şey.
Kontrol panellerinde zaten güvenliği ihlal edilmiş çok sayıda cihazın bulunması, deneysel bir projeden ziyade aktif, operasyonel bir ekosisteme işaret ediyor.
Bu düzeydeki karmaşıklık, büyük ölçekli mali saldırıları gerçekleştirme konusunda önemli kaynaklara ve deneyime sahip bir kuruluşa işaret eder.
Bu operasyonu yönlendiren finansal motivasyon açıkça ortadadır. Kampanyanın, parayı ekip liderlerine geri yönlendiren komisyon yapılarıyla tamamlanan dağıtılmış doğası, sistematik kripto para hırsızlığı yoluyla kârı en üst düzeye çıkarmak için tasarlanmış profesyonel bir suç örgütünü ortaya çıkarıyor.
Cüzdan Arayüzü Sahtekarlığı ve Temel İfade Toplama
SeedSnatcher’ın en tehlikeli yeteneği, kullanıcıları kritik tohum cümlelerini açıklamaları için kandıran ikna edici sahte kripto para cüzdanı arayüzleri yaratma yeteneğinde yatmaktadır.
Kötü amaçlı yazılım, kullanıcıları Trust Wallet, TokenPocket, imToken, MetaMask, Coinbase Wallet, TronLink, TronGlobal, Binance Chain Wallet ve OKX Wallet dahil olmak üzere tercih ettikleri cüzdanlarla eşleşen sahte ekranlara yönlendiren bir haritalama sistemi içeriyor.
Bir kullanıcı bu yasal uygulamalardan birini açtığında, kötü amaçlı yazılımın yer paylaşımı izni, gerçek cüzdan arayüzüyle neredeyse aynı görünen sahte bir içe aktarma ekranı görüntülemesine olanak tanıyor.
Teknik uygulama, detaylara olağanüstü bir dikkat göstermektedir. Kötü amaçlı yazılım özellikle Trust Wallet için com.wallet.crypto.trustapp meşru paket adını kodluyor ve aldatmayı en üst düzeye çıkarmak için eşleşen kullanıcı arayüzü öğelerini kullanıyor.
.webp)
Kod yapısı, kötü amaçlı yazılımın, orijinal uygulamanın görsel görünümünü korurken kullanıcı girişini kendi arayüz bileşenleri aracılığıyla nasıl engellediğini gösterir.
Bu saldırıyı özellikle etkili kılan şey, yalnızca uygun şekilde biçimlendirilmiş anımsatıcı ifadelerin yakalanmasını sağlayan BIP39 sözlük doğrulamasının zorunlu kılınmasıdır.
.webp)
Kötü amaçlı yazılım, BIP39 kelime listesinin tamamını uygulamanın varlıklarından yükleyerek her kelime girişini gerçek zamanlı olarak doğrular, yazım hatalarını önler ve saldırganın sunucusuna yalnızca geçerli, hemen kullanılabilen tohum ifadelerinin ulaşmasını garanti eder.
.webp)
Bu doğrulama mekanizması, saldırganların sıfır başarısız içe aktarma girişimiyle içe aktarmaya hazır kurtarma kodlarını alması nedeniyle cüzdan devralmalarının başarı oranını önemli ölçüde artırır.
Bu anımsatıcılar bir kez yakalandıktan sonra saldırganın altyapısına sızarak kurbanın kripto para varlıklarına tam erişim sağlar ve kurbana herhangi bir kurtarma seçeneği bırakmayan yetkisiz fon transferlerine olanak tanır.
Bu operasyonun planlı doğası, aktif kripto para birimi cüzdanlarını toplama konusundaki kanıtlanmış yeteneğiyle birleştiğinde, SeedSnatcher’ı günümüzün dijital varlık kullanıcılarını hedef alan en tehlikeli mobil kötü amaçlı yazılım tehditlerinden biri olarak konumlandırıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
