ESET Research, mesajlaşma uygulamalarında bulunan ilk kırpıcı olayını keşfetti. Çoğunlukla Android ve Windows kullanıcılarını bu anlık mesajlaşma servislerinin truva atı olan sürümleriyle hedefleyen birkaç sahte Telegram ve WhatsApp web sitesi bulundu.
Özellikle, araştırmacıların bulduğu zararlı uygulamaların çoğu, panonun içeriğini çalan veya değiştiren bir tür kötü amaçlı yazılım olan kesme makineleridir.
Hepsi kurbanlarının kripto para fonlarını takip ediyor ve birçoğu kripto para cüzdanlarına odaklanıyor.
Araştırmacılar, bu uygulamalardan bazılarının, saldırıya uğramış cihazlara kaydedilen ekran görüntülerindeki metni tanımlamak için Android kötü amaçlı yazılımlarında bir başka ilk olan optik karakter tanıma (OCR) kullandığını söylüyor.
Clipper nedir?
Clipper olarak bilinen kötü niyetli bir kod parçası, bir makinenin panosundaki içeriği kopyalar veya değiştirir.
Çevrimiçi kripto para cüzdanlarının adresleri uzun karakter dizilerinden oluştuğu ve kullanıcılar adresleri girmek yerine panoyu kullanarak sık sık kopyalayıp yapıştırdıkları için, kesme makineleri kripto para birimini çalmak isteyen dolandırıcılara hitap ediyor.
Bir kesme makinesi, panodaki bilgileri ele geçirerek ve kripto para cüzdan adreslerini suçluların erişebileceği adreslerle gizlice değiştirerek bundan yararlanabilir.
ESET, “Kırpıcıların temel amacı, kurbanın mesajlaşma iletişimlerini engellemek ve gönderilen ve alınan tüm kripto para birimi cüzdan adreslerini saldırganlara ait adreslerle değiştirmektir” diyor.
Nasıl Dağıtıldı?
Bunlar, operatörleri tarafından çoğunlukla Çince konuşan müşterileri hedefliyor. Tehdit aktörleri, önce izleyicileri sahte YouTube kanallarına hedefleyen, ardından onları sahte Telegram ve WhatsApp web sitelerine yönlendiren Google Reklamları oluşturur.
Google Play, Telegram ve WhatsApp’ın tümü Çin’de kısıtlanmış olduğundan, Android kullanıcılarının resmi olarak elde edilemeyen uygulamalara erişmek için birden fazla çemberin içinden atlamaya alışmış olması mümkündür.
Siber suçlular bunun farkında oldukları için kurbanlarını Google’da WhatsApp veya Telegram’ı aramaya başlar başlamaz tuzağa düşürmeyi hedefliyorlar.
“Düzinelerce sahte Telegram ve WhatsApp web sitesine işaret eden yüzlerce YouTube kanalı bulduk. Bu siteler yasal hizmetleri taklit eder ve uygulamanın hem masaüstü hem de mobil sürümlerini indirilmek üzere sağlar. Analiz edilen uygulamaların hiçbiri Google Play mağazasında mevcut değildi”, araştırmacılar.
Araştırmacılar, sahte web sitelerinin desteklenen tüm işletim sistemleri için Telegram ve WhatsApp için indirme bağlantıları sağladığından bahsediyor. Yine de, tüm Linux ve macOS bağlantıları ve iOS bağlantılarının çoğu, ilgili uygulamalar için gerçek web sitelerine yönlendirir.
Soruşturma yürütüldükten sonra, sahte web sitelerine yönlendiren birkaç iOS bağlantısı söz konusu olduğunda, uygulamalar artık indirilmek üzere erişilebilir durumda değildi.
Android Truva Atları
Truva atı haline getirilmiş Android uygulamalarının temel amacı, kurbanların sohbet konuşmalarını engellemek ve saldırganlar için tüm kripto para cüzdan adreslerini değiş tokuş etmek veya saldırganların kurbanların kripto para fonlarını çalmasına izin verecek hassas bilgileri sızdırmaktır.
Truva atı haline getirilmiş Telegram ve WhatsApp uygulamaları, cüzdan adreslerini değiştirirken farklı davranır. Bir kurban, kötü amaçlı bir Telegram uygulaması kullandığında, uygulama yeniden başlatılana kadar saldırganın adresini görüntülemeye devam eder. Bu noktada, saldırganın adresi görüntülenecektir.
Buna karşılık, truva atlı bir WhatsApp kullanılıyorsa, kurbanın adresi gönderilen mesajlarda görünür, ancak alıcı saldırganın adresini görür.
Windows Truva Atları
Araştırmacılar, hem uzaktan erişim truva atlarının hem de kırpıcıların Windows sürümlerinde yer aldığını söylüyor. RAT’ler, ekran görüntüleri almak ve dosyaları silmek gibi daha geniş bir yelpazede zararlı eylemler gerçekleştirebilirken, kırpıcılar öncelikle kripto hırsızlığına odaklanır.
Bazıları panoyu değiştirerek kripto para cüzdanlarını çalmalarına olanak tanıyor. Android sürümleri olarak tam etki alanları, Windows uygulamalarında barındırıldı.
Tehdit aktörleri, içerdikleri birçok modül yardımıyla pano verilerini çalma, tuş vuruşlarını kaydetme, Windows Kayıt Defterini sorgulama, ekran yakalama, sistem bilgilerini alma ve dosya işlemlerini gerçekleştirme gibi işlemleri gerçekleştirebilmektedir.
Araştırmacılar, “Bir istisna dışında, analiz ettiğimiz tüm uzaktan erişim truva atları, kötü şöhretli Gh0st RAT’a, yani halka açık olması nedeniyle siber suçlular tarafından sıklıkla kullanılan kötü amaçlı yazılıma dayalıydı”, diyor araştırmacılar.
Bu nedenle, tehdit aktörleri, truva atlarının kurbanlarından kripto para birimi çalmak için ele geçirdikleri Android ve Windows için Telegram ve WhatsApp uygulamalarını kullanır.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin