Xenomorph kötü amaçlı yazılımını içeren yeni bir Android dolandırıcılığına ve kripto para birimi kimlik bilgilerinin aranmasına göz atıyoruz.
Kripto para sahipleri, Xenomorph kötü amaçlı yazılımıyla ilgili uyarıları dikkate almalı: Bleeping Computer, Xenomorph’un en son sürümünün artık sahte tarayıcı güncelleme mesajlarını yem olarak kullanarak çeşitli kripto para birimi cüzdanlarını hedef aldığını bildiriyor.
Xenomorph yaklaşık bir yaşında ve ilk olarak Google Play mağazası aracılığıyla yapılan bir kurulum kampanyasının 50.000’den fazla Android telefonun ele geçirilmesiyle sonuçlanmasıyla öne çıktı. O zamanlar Xenomorph sahte iddialarla resmi Android mağazasına sızmıştı.
Pek çok mobil dolandırıcılıkta olduğu gibi, bir sistem temizleme aracı gibi davranmak bir cazibe gibi çalıştı ve hileli bileşeni ancak kurulumdan sonra ele geçirerek bazı güvenlik önlemlerini atladı. Başka bir deyişle: Google Play istenmeyen hiçbir şeyi fark etmezdi çünkü ilk kurulum sırasında her şey normal görünüyordu.
Kötü amaçlı yazılım, SMS kaydı yapma, bildirimlere müdahale etme ve 56’ya kadar farklı bankanın oturum açma ayrıntılarını ele geçirmek için katmanları kullanma izinlerini kötüye kullandı.
Bu zaten başlı başına çok kötü niyetli bir davranış. Bir yıl sonra Xenomorph etkileyici bir devam filmiyle geri döndü. Xenomorph’un yeni yollarla dağıtıldığını ve çok faktörlü kimlik doğrulamayı atlama ve çerez çalma gibi yeni özellikler içerdiğini gören son 12 aydaki birkaç revizyondan sonra bunun 5. bölüm olduğunu söylemek daha doğru olur.
Yeni saldırı, o çok eskimiş geleneğin, yani sahte tarayıcı güncellemesi açılış sayfasının kullanılmasını içeriyor. Sahte “Chrome’unuzun güncellenmesi gerekiyor” sayfaları, ziyaretçileri yeni hileli Android dosyasını indirip yüklemeye ikna ediyor.
Bu noktada Xenomorph en çok tercih ettiği taktiği kullanıyor: Sahte kaplama taktiğini. Bu katmanlar çeşitli bankaları ve (artık) Metamask gibi birden fazla kripto para birimi hizmeti için oturum açma bilgilerini taklit ediyor.
Kripto para birimi gizli kurtarma ifadenizi rastgele web sitelerine ve uzantılara aktarmanın tehlikeleri konusunda birçok kez uyardık. Bu tür dolandırıcılık konusunda deneyimli kişiler bile, gerçek görünümlü bir kaplamanın tamamen ilgisiz bir Android kurulumundan geldiğini fark etmeyebilir.
Bu son sürümün, kullanıcının ayrıntılarını kaydırmak için hazırlanmış sayfalardan yararlanarak “100’den fazla farklı hedefi” hedeflediği söyleniyor. Ayrıca, kötü amaçlı yazılımın normalde meşru hizmetlerde sahte etkinlik başlatmasına olanak tanıyan “taklit” adı verilen bir özelliği de içerir. Bleeping Computer’ın belirttiği gibi, bu teknik, dolandırıcıların, birçok güvenlik aracının potansiyel olarak şüpheli davranış olarak algılayacağı uygulama başlatıcıdan simgeleri gizlemesine gerek olmadığı anlamına geliyor.
Xenomorph, belirli ekran konumlarında kullanıcı dokunuşlarını simüle etmek ve sistemin uyku moduna geçmesini önlemek gibi pek çok şey yapıyor; bu, emir veren Komuta ve Kontrol kurulumuyla iletişim halinde kalmak için bir nimettir.
Bu keşifleri yapan araştırmacılar ayrıca hileli dosyaları barındıran altyapının ek kötü amaçlı yazılımlar, kötü amaçlı yazılım yükleyicileri ve Windows bilgi hırsızları içerdiğinden de bahsediyor.
Bu diğer dosyalardan bazılarının halihazırda dolaşımda olması veya yakın gelecekte bir noktada olması ihtimali yüksektir. Web sitelerine bakarken tarayıcı güncelleme uyarıları alırsanız o indirme düğmesine basmayın.
Tarayıcı güncellemeleri genellikle tarayıcınızın ortasında, özellikle de internette gezinirken bunu yapmanız gerektiğini duyurmaz. Güncelleme bildirimleri tarayıcı penceresinden uzağa, genellikle tarayıcının kullanıcı arayüzünün içine yerleştirilir. Örneğin, URL çubuğunuzun sağında. Tarayıcılar ayrıca siz hiçbir şey yapmadan otomatik olarak güncellenme eğiliminde olacaktır. Bir güncellemenin gerekli olup olmadığını öğrenmek istiyorsanız “Yardım” veya “Hakkında” seçeneğine tıklamak genellikle işinizi halledecektir.
İster mobil ister masaüstü olsun, güncellemelerinizi otomatik olarak ayarlamanızı önemle öneririz. Tarayıcının işini yapmasına ve sizi güvende tutmasına yardımcı olmasına izin verin ve varsayılan tarayıcı güncellemeleri hakkında acil bir bildirimle açılır pencereleri veya tarayıcı içi mesajları göz ardı ederek üzerinize düşeni yapın.
Yalnızca Android güvenliği hakkında rapor vermiyoruz; bunu sağlıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Android için Malwarebytes’i bugün indirerek tehditleri Android cihazlarınızdan uzak tutun.