ESET’teki siber güvenlik analistleri kısa süre önce popüler mesajlaşma uygulamaları Telegram ve WhatsApp’ı taklit eden birkaç sahte web sitesi tespit etti.
Bu sahte web siteleri, Telegram ve WhatsApp uygulamalarının tahrif edilmiş sürümleriyle öncelikle aşağıdaki platformların kullanıcılarını hedef alırken:-
Bunun dışında güvenlik araştırmacıları, inceledikleri uygulamaların önemli bir kısmının “clippers” olarak sınıflandırıldığını tespit etti. Bunlar, pano verilerini çalma veya değiştirme yeteneğine sahip kötü amaçlı yazılım türleridir.
Çoğu, esas olarak kullanıcıların kripto para birimi cüzdanlarını hedefler ve sadece bunu değil, hatta bazıları kurbanların kripto para birimi fonlarını da hedefler. Özellikle anlık mesajlaşmayı hedefleyen Android kesiciler ilk kez görüldü.
Etkilenen cihazlardan bu uygulamalar, OCR yardımıyla metinleri tanımladıkları kayıtlı ekran görüntülerini de arar ve Android kötü amaçlı yazılımı için bu olay da ilk kez gözlemlenir.
Dağılım Analizi
Bu taklitçi uygulamaların arkasındaki operatörlerin, taklitçi uygulamalardaki dil kullanımlarından da anlaşılacağı üzere, çoğunlukla Çince konuşan kullanıcıları hedef aldığından şüpheleniliyor.
Böyle bir senaryonun gerçekleşmesi tamamen Çin’de bu iki uygulamanın yasaklanmasından kaynaklanıyor. Çin’de, bu uygulamaların her ikisi de şu nedenlerle yasaklanmıştır: –
- telgraf (2015)
- Naber (2017)
Tehdit aktörleri, dağıtım stratejilerinin bir parçası olarak Google Ads kurarak sahte YouTube kanalları oluşturmakta ve bu reklamlar ile kullanıcıları sahte YouTube kanallarına yönlendirmektedir.
Ardından izleyiciler, yasal Telegram ve WhatsApp web siteleri gibi davranan sahte web sitelerine yönlendirilir.
Tüm bu mekanizma, Çin’de bu uygulamaların yasaklanması nedeniyle tehdit aktörleri için oldukça kolay hale gelirken. Sonuç olarak, kurbanlar bu tür yemlerle kolayca kandırılır.
Öte yandan Google Reklamları, iki temel tesisle tehdit aktörlerini kolaylaştırır ve burada aşağıda belirtilenlerden bahsetmiştik:-
- Arama sonuçlarında kolayca üst sıralara çıkın.
- Web sitelerinin dolandırıcılık veya hileli olarak işaretlenmesinden kaçınmalarına yardımcı olun.
Sahte YouTube kanallarının “Hakkında” bölümünde genellikle taklitçi web sitelerine bağlantılar bulabilirsiniz.
Bunun dışında, güvenlik analistleri tarafından analizleri sırasında çok sayıda sahte YouTube kanalı keşfedildi.
Hepsinin, kanallarda reklamı yapılan düzinelerce sahte Telegram ve WhatsApp web sitesine bağlı olduğunu buldular.
Android ve Windows Truva Atları
Truva atına bulaştırılmış Android uygulamaları öncelikle aşağıdaki amaçlar için kullanılır: –
- Kurbanın sohbet mesajlarını izleyin ve izleyin.
- Kurbanın kripto para cüzdanı adreslerini saldırganın adresleriyle değiştirin.
- Kurbanların kripto para fonlarını çalmak için hassas veri hırsızlığı.
M-cüzdan adreslerini değiştirirken, truva atı haline getirilmiş Telegram ve WhatsApp uygulamaları farklı bir şekilde davranır.
Tehdit aktörlerinin, bu iki hizmet tarafından geliştirilen uygulamaların orijinal koduna ilişkin kapsamlı analizleri sonucunda, her iki hizmetteki mesajları değiştirmeyi başardılar.
Açık kaynaklı bir uygulama olduğu için siber suçluların Telegram’ın yeni bir sürümünü oluşturmasına gerek yoktu. Kötü amaçlı işlevselliği WhatsApp’a eklerken, Telegram gibi açık kaynaklı olmadığı için ikili dosyayı doğrudan değiştirmek ve yeniden paketlemek gerekiyordu.
Truva atına bulaştırılmış bir WhatsApp kullanırken, alıcı kurbanın yerine saldırganın adresini görecektir.
Öte yandan, Windows sürümleri, yalnızca kırpıcı içeren Android sürümlerinin aksine, uzaktan erişilebilen truva atlarına ek olarak kırpıcılardan da yararlanır.
Clipper’lar çoğunlukla kripto çalmak için kullanılırken, RAT’ler diğer kötü amaçlı etkinliklerin yanı sıra ekran görüntüleri alabilir ve dosyaları silebilir. Tehdit aktörleri, hem Android hem de Windows sürümlerinin barındırıldığı kötü amaçlı uygulamaları barındırmak için aynı etki alanını kullandı.
Ayrıca, siber suçluların, çoğunlukla açık bir uzaktan erişim trojan’ı olan Gh0st RAT’a dayalı RAT’leri sıklıkla kullandıkları gözlemlenmiştir.
Azaltma
Bu tür durumların önlenmesi için, güvenlik araştırmacıları kullanıcılara şiddetle tavsiye etti: –
- Uygulamaları yalnızca resmi mağazalardan indirdiğinizden emin olun.
- E-posta veya mesajlaşma uygulamaları yoluyla bilinmeyen kaynaklardan alınan güvenilmeyen bağlantılara tıklamayın.
- Her zaman iki faktörlü kimlik doğrulamayı kullanın.
- Kullanılmış veya güvenliği ihlal edilmiş parolaları kullanmayın.
- Daima sağlam antivirüs araçları kullanın.
- Windows sisteminize başka kaynaklardan herhangi bir uygulama yüklemeden önce, kaynağın ve uygulamanın orijinalliğini kontrol ettiğinizden emin olun.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin