PixPirate olarak bilinen yeni ve tehlikeli bir kötü amaçlı yazılım kampanyası, son aylarda başta Brezilya ve Hindistan olmak üzere kullanıcıları hedef alıyor ve enfeksiyonlar İtalya ve Meksika’ya da yayılıyor.
Bu gelişmiş kötü amaçlı yazılım, meşru bir kimlik doğrulama uygulaması gibi görünerek kullanıcıları banka hesaplarının güvenliğini sağlamaya yardımcı olacağına inandırıyor. Ancak asıl amacı çok daha kötüdür.
PixPirate, Smishing kampanyaları ve virüslü kullanıcılardan gelen WhatsApp spam mesajlarının birleşimi yoluyla yayılıyor.
%20(1).webp)
Kötü amaçlı yazılım Google Play Store’da bulunmuyor; bunun yerine kurbanları kötü amaçlı uygulamayı indirip yüklemeye ikna etmek için sosyal mühendislik taktiklerine güveniyor.
PixPirate indiricisi yüklendikten sonra kullanıcılardan uygulamanın “güncellenmiş sürümünü” yüklemelerini ister; bu sürüm aslında tam PixPirate kötü amaçlı yazılımıdır.
Güvenlik İstihbaratı araştırmacıları, bu aldatıcı tekniğin, kötü amaçlı yazılımın kurbanın cihazında gerekli tüm izinleri ve yetenekleri kazanmasına olanak tanıdığını belirtti.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.
Teknik Analiz
PixPirate, çok çeşitli kötü amaçlı özelliklere sahip bir Uzaktan Erişim Aracıdır (RAT): –
- Finansal Dolandırıcılık: Öncelikle Brezilya bankacılık uygulamalarıyla entegre olan Pix ödeme hizmetlerini hedef alıyor.
- Veri Hırsızlığı: Etkilenen cihazlardan kullanıcı bilgilerini çalar.
- WhatsApp Sömürüsü: Kötü amaçlı yazılımı daha da yaymak için WhatsApp’ı kötüye kullanır.
- Gizli İşlemler: Simgesini ana ekrandan kaldırarak varlığını gizler.
- SMS Dinleme: Gelen kısa mesajları yakalar ve okur.
- Etkinlik Kaydı: Cihazdaki kullanıcı etkinliklerini izler ve günlüğe kaydeder.
- Anti-Algılama: Algılanmayı önlemek için anti-sanal makine ve gizleme tekniklerini kullanır.
PixPirate kötü amaçlı yazılımı, yayılma stratejisinde önemli bir bileşen olarak WhatsApp’tan yararlanıyor. Kurbanın cihazında WhatsApp yüklü değilse, kötü amaçlı yazılım kurulumunu isteyecektir.
.webp)
PixPirate mevcut olduğunda şunları yapabilir: –
- Kişilere ve gruplara kötü amaçlı kimlik avı mesajları gönderme
- Kullanıcının kişi listesini okuyun ve değiştirin
- Yeni WhatsApp grupları oluşturun
- Diğer WhatsApp hesaplarını engelleme ve engellemeyi kaldırma
- İzlerini kapatmak için mesajları silin
Bu yaklaşım özellikle etkilidir çünkü WhatsApp mesajları, özellikle de bilinen kişilerden geldiğinde, genellikle SMS’den daha güvenilir görünür.
Brezilya enfeksiyonların yaklaşık %70’iyle birincil hedef olmayı sürdürürken, Hindistan küresel PixPirate enfeksiyonlarının yaklaşık %20’sini oluşturarak en çok etkilenen ikinci ülke haline geldi.
Şu anda hedef listesinde hiçbir Hint bankası bulunmamasına rağmen güvenlik araştırmacıları, kötü amaçlı yazılım geliştiricilerinin Hindistan’da gelecekteki kampanyalar için zemin hazırladığından ve muhtemelen yaygın olarak kullanılan Birleşik Ödeme Arayüzü (UPI) sistemini hedef aldığından şüpheleniyor.
PixPirate ve benzeri kötü amaçlı yazılımların kurbanı olmaktan kaçınmak için:
- Bilinmeyen kaynaklardan veya mesaj yoluyla alınan bağlantılardan asla uygulama yüklemeyin.
- Bilinen kişilerden gelse bile istenmeyen mesajlara karşı şüpheci olun.
- Cihazınızın işletim sistemini ve uygulamalarını güncel tutun.
- Saygın mobil güvenlik çözümlerini kullanın.
- Cihazınızdaki uygulama izinlerini düzenli olarak inceleyin.
PixPirate gelişmeye ve erişim alanını genişletmeye devam ederken, bilgili ve dikkatli olmak, kişisel ve finansal bilgilerinizi bu karmaşık tehdide karşı korumak açısından çok önemlidir.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın