Yeni bir akıllı telefon tabanlı saldırı dalgası, kurbanları fark etmeden kripto cüzdanlarını boşaltır. Doctor Web’deki araştırmacılara göre, kötü amaçlı yazılımları bağlayan Android telefonlarındaki bir artış, saldırganların spyware’i doğrudan yeni satılan cihazların yazılımına yerleştirdiği koordineli bir operasyona maruz kaldı. Amaç, WhatsApp’ın kaçırılmış bir versiyonu aracılığıyla kripto para işlemlerini engellemektir.
Ucuz telefonlar, pahalı sonuçlar
Söz konusu telefonlar tanıdık geliyor. “S23 Ultra”, “Not 13 Pro” ve “P70 Ultra” gibi modeller, şık marka ve cazip özelliklerle premium markaları taklit ediyor. Ancak yüzeyin altında, en son Android sürümüne sahip olduğunu iddia etmesine rağmen eski bir yazılım çalıştırıyorlar ve içinde kötü amaçlı yazılımlarla birlikte geliyorlar.
Enfekte edilmiş cihazlar, kopyalanan kripto para cüzdanı adreslerini saldırganın kendisiyle değiştirmek için tasarlanmış kötü amaçlı programlar olan WhatsApp’ın önceden yüklenmiş, değiştirilmiş sürümleri ile birlikte gönderilir. Kurulduktan sonra, bu sahte WhatsApp, kullanıcılar sohbet yoluyla gönderdiğinde veya aldıklarında Ethereum ve Tron gibi popüler paralar için cüzdan dizelerini sessizce değiştirir.
Daha da endişe verici, kurbanlar asla şüpheli bir şey görmezler. Kötü amaçlı yazılım, gönderenin ekranındaki doğru cüzdan adresini gösterir, ancak alıcıya yanlış olanı sağlar ve tersi de geçerlidir. Para ortadan kalkana kadar her şey normal görünüyor.
Sadece whatsapp değil
Saldırganlar bir uygulamada durmadı. Dr. Web’in raporuna göre, araştırmacılar telgraf, Trust Cüzdan ve Mathwallet gibi kripto cüzdanları, QR kod okuyucuları ve diğerleri gibi yaklaşık 40 sahte uygulama buldular. Enfeksiyonun arkasındaki teknik, temel uygulama kodunu değiştirmeden değişikliklere izin veren Lspatch adlı bir araca dayanır. Bu yöntem sadece algılamadan kaçınmakla kalmaz, aynı zamanda kötü amaçlı kodun güncellemelerden kurtulmasına izin verir.
Bu kampanyayı özellikle tehlikeli kılan, tedarik zinciri açısıdır. Araştırmacılar, enfeksiyonun üretim aşamasında meydana geldiğine inanıyor, yani bu telefonlar mağaza raflarına ulaşmadan önce tehlikeye atıldı. Birçok cihaz daha küçük Çinli markalardan geliyor ve bazı modeller “Showji” adlı bir etikete bağlı. Diğerleri izlenemez kalır.
| Showji S19 | Not 30i | Camon 20 |
| Showji Note 13 Pro | S23 Ultra | P70 Ultra |
| Showji X100S Pro | S18 için | M14 Ultra |
| Showji Reno12 | 6 Pro | S24 Ultra |
Mesajın Kaçırılmasının Ötesinde
Casus yazılım sadece cüzdan adreslerini değiştirmez; Recovery Cıhırılar, İndirme ve Ekran Görüntüleri gibi hedeflenen cihazların görüntü klasörlerini kurtarır ve kurtarma cümlelerinin resimlerini arar. Birçok insan bunların ekran görüntülerini kolaylık sağlamak için çekiyor, ancak bu ifadeler kripto cüzdanlarının ana anahtarları. Saldırganlar ellerini ele alırlarsa, hesabı dakikalar içinde boşaltabilirler.
İşleri daha da kötüleştirmek için, kötü niyetli WhatsApp güncelleme sistemi resmi sunuculara işaret etmez. Bunun yerine, bilgisayar korsanları tarafından kontrol edilen alanlardan güncellemeleri alır ve casus yazılımların işlevsel ve güncel kalmasını sağlar.
Şimdiye kadar Doctor Web, kampanyada 60’dan fazla sunucu ve 30 alan belirledi. Operasyona bağlı bazı saldırgan cüzdanları zaten 1 milyon dolardan fazla para aldı ve diğerleri altı haneli bakiye tutuyor. Ve birçok adres dinamik olarak üretildiğinden, tam finansal kapsam belirsizliğini korumaktadır.
Nasıl Güvenli Kalınır
Web’deki siber güvenlik uzmanları, özellikle mobil cihazlar ve kripto güvenliği söz konusu olduğunda kullanıcıları ekstra temkinli olmaları konusunda uyardı. Doğrulanmamış satıcılardan Android telefonlardan kaçınmanızı önerirler, özellikle de fiyat gerçek olamayacak kadar iyi hissederse. Bir cihazın yasal olduğundan emin olmak için, DeVcheck gibi araçlar donanım özelliklerini doğrulamaya yardımcı olabilir, çünkü sahte modeller CPU-Z veya Aida64 gibi iyi bilinen uygulamalarda bile sistem ayrıntılarını manipüle eder.
Uzmanlar ayrıca, casus yazılımlar için kolay hedefler olabilen şifrelenmemiş görüntüler veya metin dosyaları olarak kurtarma ifadelerini, şifreleri veya özel anahtarları saklamaya karşı tavsiyelerde bulunur. Güvenilir güvenlik yazılımlarının yüklenmesi, sistem düzeyinde daha derin tehditlerin yakalanmasına yardımcı olabilir. Uygulamalar indirme söz konusu olduğunda, Google Play gibi resmi kaynaklara bağlı kalmak en güvenlidir.
Kampanya şu anda Rusça konuşan kullanıcıları hedef almasına rağmen, akıllı telefonlar ve TV kutuları da dahil olmak üzere ucuz Android cihazlarda önceden yüklenmiş kötü amaçlı yazılımlar, dünya çapında şüpheli olmayan kullanıcıları hedeflemek için zaten kullanılmıştır. Bu nedenle, konumunuzdan bağımsız olarak, Android telefonunuz iddia ettiği gibi değilse veya yakın zamanda bir marka dışı cihaz satın aldıysanız, kaputun altında ne koştuğunu kontrol etmeye değer olabilir.