İran’ın bankacılık sektörünü hedef alan devasa bir kampanya, son aylarda büyük ölçüde büyüdü; yaklaşık 300 kötü amaçlı Android uygulaması, hesap kimlik bilgileri, kredi kartları ve kripto cüzdanları için kullanıcıları hedef alıyor.
Dört ay önce Sophos’tan araştırmacılar uzun bir kampanyayı detaylandırdı 40’ı içeren kötü amaçlı bankacılık uygulamaları farkında olmayan müşterilere ait kimlik bilgilerini toplamak için tasarlanmıştır. İslam Cumhuriyeti’nin en önemli finans kurumlarından dördünü (Bank Mellat, Bank Saderat, Resalat Bank ve İran Merkez Bankası) taklit eden bilgisayar korsanları, taklit uygulamalarını kurbanların telefonlarına yükleyip gizleyebildiler, oturum açma bilgilerini topladılar, SMS mesajlarını ele geçirdiler. tek kullanımlık şifreler ve kredi kartları dahil hassas mali bilgilerin çalınması.
Görünüşe göre bu sadece açılış salvosuydu. A Zimperium’dan yeni blog yazısı aynı, açıkça devam eden kampanyayla ilişkili 245 uygulamayı daha ortaya çıkardı; bunlardan 28’i daha önce VirusTotal’a kaydedilmemiş.
Ve bu yeni hazine yalnızca daha büyük değil, aynı zamanda ilk 40’tan daha çeşitli ve daha karmaşıktır; yeni hedef türleri ve gizlilik ve sebat taktikleri içerir.
285 Sahte Bankacılık Uygulaması
Yazdan bu yana keşfedilen 245 yeni uygulama, aktif olarak dört yeni İran bankasını hedef alarak orijinal 40’ın sınırlarını aşıyor ve onların görüşlerinde dört tane daha olduğuna dair bazı kanıtlar var.
Saldırganlar, bankaların yanı sıra Metamask, KuCoin ve Coinbase gibi popüler platformlar da dahil olmak üzere on altı kripto para birimi platformuyla ilgili verileri araştırmaya başladı.
Saldırganlar, bir düzine bankanın ve 16 kripto merkezinin hedeflenmesini kolaylaştırmak için cephaneliklerine bazı yeni araçlar da ekledi. Örneğin, altyapının kapatılmasını önlemek için kullandıkları küçük bir numara, tek amacı kimlik avı bağlantılarını dağıtmak olan bir komuta ve kontrol sunucusunu içerir. Araştırmacıların açıkladığı gibi bu, “sunucu URL’sinin, kaldırılma riski olmadan uygulamaya sabit kodlanmasına olanak tanıyor.”
Ancak grubun en dikkate değer yeni taktiği, uygulamalarının erişilebilirlik hizmetlerini nasıl kötüye kullandığıdır.
Zimperium’un baş bilim adamı Nico Chiaraviglio, “Erişilebilirlik API’sini kullanırken, kullanıcı arayüzünün öğelerine programlı olarak erişmenin bir yolunu buluyorlar” diye açıklıyor. Saldırganların, kötü niyetli bir etki yaratacak şekilde, bir kullanıcının yaptığı gibi cihazla görünmez bir şekilde etkileşime girebileceğini açıklıyor. Örneğin, “Tehlikeli izinler isteyebilirler (SMS okumak gibi) ve kullanıcıdan izni kabul etmesi istendiğinde, kullanıcı bildirimi görmeden ‘Kabul et’ seçeneğine tıklarlar. Veya ‘İptal’ seçeneğine tıklayarak kaldırmayı engellerler. ‘ Kullanıcı uygulamayı kaldırmaya çalıştığında.”
Şu ana kadar sahte uygulamalar Android cihazlarla sınırlı. Ancak saldırganların eşyaları arasında araştırmacılar, bankacılık uygulamalarının Apple App Store sayfalarını taklit eden kimlik avı web sitelerini ortaya çıkardılar; bu da kampanyanın yakın gelecekte iPhone’lara genişleyebileceğini gösteriyor.
Bu gerçekleşmeden çok önce kampanya binlerce kişiye ulaşmış olacak. “Telegram kanallarından birinden elde edilen bilgilere göre binlerce mağdurun olduğunu biliyoruz. Ancak kullanılan kanallardan yalnızca birine erişebildik (bunlardan biri özel olduğu için) ve onların erişmediğinin de garantisi yok. geçmişte başka kanalları kullanmıştım.”