Siber güvenlik araştırmacıları, Malezya ve Brunei’deki kullanıcıları SMS verileri, çağrı günlükleri, whatsapp mesajları ve e -postalar gibi hassas bilgileri toplamaya hedefleyen “Tria Stealer” olarak bilinen sofistike bir Android kötü amaçlı yazılım kampanyası ortaya çıkardılar.
Mart 2024’ten beri aktif olan kötü amaçlı yazılım kampanyası, kurbanları kötü amaçlı uygulamalar indirmeye kandırmak için bir cazibe olarak düğün davetiyelerini kullanıyor.
Bu kampanya, Android tehditlerinin artan sofistike olmasının yanı sıra veri ihlallerinin ve hesapların kaçırılmasının potansiyel risklerini sergiliyor.
Tria Stealer nasıl çalışır?
Tria Stealer kötü amaçlı yazılım, genellikle düğün davetiyeleri etrafında temalı meşru bir Android uygulaması olarak gizler. Mağdurlar, genellikle tehlikeye atılan hesaplar tarafından gönderilen WhatsApp veya Telegram aracılığıyla mesaj alarak uygulamayı yüklemek için kandırılır.
İndirilip yüklendikten sonra uygulama, SMS, çağrı günlükleri ve ağ durumu erişim gibi tehlikeli izinler talep eder. Ayrıca şüphe önlemek için bir sistem ayarları uygulaması olarak maskelenir.
Kurulum üzerine Tria Stealer, SMS mesajları, çağrı günlükleri, cihaz ayrıntıları ve hatta WhatsApp ve Gmail gibi uygulamalardan gelen mesajlar da dahil olmak üzere hassas bilgiler toplar.
Bu veriler daha sonra komut ve kontrol (C2) sunucuları olarak işlev gören telgraf botları aracılığıyla saldırganlara eklenir.
Araştırmacılar, Ağustos 2024’te yayınlanan ikinci versiyonla Tria Stealer’ın iki versiyonunu belirlediler ve gelişmiş özellikler getirdiler.
Kötü amaçlı yazılım, gelen mesajları ve çağrıları izlemek için BroadcasTReceiver işlevini kullanır, bu da bir kerelik şifreler (OTPS) ve işlem yetkilendirme kodları (TACS) gibi kritik bilgileri kesmesini sağlar.
Bu kodlar daha sonra WhatsApp, Telegram ve Bankacılık Uygulamaları gibi platformlarda hesapları kaçırmak için kullanılır.
Ayrıca, kötü amaçlı yazılımların daha yeni varyantları, popüler mesajlaşma ve Gmail, Whatsapp Business ve Yahoo Mail dahil olmak üzere e -posta uygulamaları tarafından gönderilen bildirimlerden veri çalma işlevselliğini içerir.
Çalınan veriler belirli formatlara yeniden paketlenir ve tehdit aktörleri tarafından organize bir yaklaşım sergileyerek türüne göre farklı telgraf botlarına gönderilir.
Saldırının sonuçları
Tria Stealer hesapları tehlikeye attığında, iki temel amaca hizmet eder:
- Kötü amaçlı yazılım dağıtım: Kötü amaçlı yazılımlar, grup sohbetleri ve doğrudan mesajlar aracılığıyla kurbanın kişilerine kötü amaçlı uygulama bağlantısını gönderir, daha fazla kullanıcıyı indirmeye ve enfeksiyonu sürdürür.
- Mali sahtekarlık: Hesap sahibinin taklit edilmesi, saldırganlar mağdurun temaslarından para transferleri talep ederek genellikle finansal kayıplarla sonuçlanır.
Uzmanlar, çalınan bilgilerin hesap şifrelerini sıfırlamak, çevrimiçi bankacılık sistemlerine erişmek veya SMS veya e -posta kimlik doğrulamasına bağlı ek platformlardan ödün vermek gibi diğer hain amaçlar için de kullanılabileceği konusunda uyarıyor.
Şüpheli köken ve hedef kurbanlar
Soruşturmalar, kampanyanın, kötü amaçlı yazılımdaki gömülü Endonezya dil dizeleri ve adlandırma kalıpları ile kanıtlanan Endonezya konuşan bir tehdit oyuncusu tarafından düzenlendiğini gösteriyor.
Hiçbir bireysel hedefleme gözlenmemiş olsa da, kurbanların çoğunluğu Malezya ve Brunei’de, Malezya en çok etkilenen.
Benzer bir kötü amaçlı yazılım kampanyası olan Udangasteal, 2023’te ve 2024 başında Güneydoğu Asya’da aktifti. Ancak, araştırmacılar benzersiz kod yapıları, farklı telgraf bot kurulumları ve gelişmiş işlevsellik gösterdiği için Tria Stealer’ı aynı tehdit aktörüne bağlamıyorlar.
Bu tür sofistike kötü amaçlı yazılımların yükselişi göz önüne alındığında, siber güvenlik uzmanları aşağıdaki önlemleri önerir:
- Bilinmeyen kaynaklardan APK dosyalarını indirmekten kaçının: Uygulamaları yalnızca Google Play Store gibi güvenilir kaynaklardan indirin.
- Tıklamadan önce mesajları doğrulayın: Arkadaşlardan veya güvenilir kişilerden gelmiş gibi görünse bile, uygulama yüklemeleri isteyen mesajlara dikkat edin.
- İki faktörlü kimlik doğrulamayı etkinleştirin (2FA): Hesaplarınızı güvence altına almak için mümkün olan her yerde 2FA kullanın.
- Güvenilir Güvenlik Çözümlerini Kullanın: Kötü amaçlı yazılımları algılamak ve engellemek için mobil antivirüs araçlarını yükleyin.
Tria Stealer kötü amaçlı yazılım kampanyası, Android kullanıcılarını hedefleyen siber suçluların gelişen taktiklerini vurgular.
Sosyal mühendislik tekniklerinden ve gelişmiş veri açığa çıkma yöntemlerinden yararlanarak, bu kötü amaçlı yazılım kişisel ve finansal güvenlik için ciddi bir tehdit oluşturmaktadır. Kullanıcıların bu tür saldırılara karşı korunmak için uyanık kalmaları ve en iyi uygulamaları benimsemeleri istenir.
Collect Threat Intelligence with TI Lookup to improve your company’s security - Get 50 Free Request