Yapılan son araştırmalar, kripto para cüzdanı kurtarmada önemli bir bileşen olan anımsatıcı anahtarları hedef alan yeni bir Android zararlı yazılımını ortaya çıkardı.
Meşru uygulamalar kılığına giren bu kötü amaçlı yazılım, cihazları anımsatıcı ifadeler içeren görüntüler açısından tarar. Bir kez yüklendiğinde, metin mesajları, kişiler ve görüntüler gibi kişisel verileri gizlice çalar.
Araştırmada, Ocak 2024’ten bu yana Koreli kullanıcıları hedef alan 280’den fazla kötü amaçlı uygulama tespit edildi. Kötü amaçlı yazılım, veri hırsızlığı faaliyetlerini gizlemek için yükleme ekranları ve yönlendirmeler gibi aldatıcı taktikler kullanıyor.
Kötü niyetli aktörler öncelikle karmaşık kimlik avı kampanyaları aracılığıyla Koreli mobil kullanıcıları hedef alır. Bu kampanyalar, kurbanları kötü amaçlı bağlantılara tıklamaya çekmek için güvenilir varlıkları taklit etme gibi aldatıcı taktikler kullanır.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Bu bağlantılara tıklandığında, kullanıcılar, zararsız uygulamalar gibi görünen APK dosyalarını indirmeleri için kandırılarak meşru platformları taklit etmek üzere tasarlanmış sahte web sitelerine yönlendiriliyor.
Bu kötü amaçlı APK’lar kurulum sırasında aşırı izinler talep ederek hassas kullanıcı verilerini çalabiliyor ve arka planda kötü amaçlı faaliyetler yürütebiliyor.
Kötü amaçlı yazılım, kullanıcının cihazından hassas bilgileri çalan ve kişileri, SMS mesajlarını, fotoğrafları ve cihaz bilgilerini hedef alarak bunları uzak bir sunucuya gönderen bir veri sızdırma aracı olarak işlev görüyor.
Sunucudan gelen komutları alıp yürüten, alınan verileri onaylama, cihaz ayarlarını değiştirme ve SMS mesajları gönderme gibi işlemleri yapan uzak bir aracı gibi davranır.
Soruşturmada, kurbanların görüntüleri ve kripto para cüzdanı bilgileri de dahil olmak üzere hassas verilerin açığa çıktığı, zayıf güvenlikli bir komuta ve kontrol sunucusunun, saldırganın operasyonları hakkında bilgi sağlayan dizin sayfalarına ve yönetici panellerine yetkisiz erişime izin verdiği ortaya çıkarıldı.
Çalınan verilerin işlenmesinde Python ve Javascript kullanılırken, saldırganın maddi kazanç elde etmek amacıyla kurbanın verilerini kullanma niyetini gösteren bilgileri görüntülerden çıkarmak için OCR teknikleri kullanıldı.
Kötü amaçlı yazılım, iletişim ve tespitten kaçınma stratejilerini önemli ölçüde geliştirdi ve artık C2 sunucusuyla daha verimli ve gerçek zamanlı iletişim için WebSocket bağlantılarını kullanıyor; bu da geleneksel HTTP tabanlı araçları kullanarak tespit edilmesini zorlaştırıyor.
Ayrıca analistleri şaşırtmak ve tespiti geciktirmek için dize kodlama ve alakasız kod ekleme gibi gelişmiş karartma teknikleri de uyguladı.
Kötü amaçlı yazılımın hedef alanını İngiltere’yi de kapsayacak şekilde genişletmesi, etki alanını genişletme ve yeni kullanıcı gruplarına saldırma yönünde kasıtlı bir girişim olduğunu gösteriyor.
McAfee’ye göre, başlangıçta kredi veya hükümet uygulamaları kılığına giren kötü amaçlı yazılım, daha sonra ölüm ilanlarını taklit ederek duygusal zaafları istismar edecek şekilde gelişti ve failler, çalınan verileri finansal kazanç elde etmek için OCR teknolojisini kullanarak analiz ediyor.
Yaygınlığı sınırlı olmasına rağmen, kötü amaçlı yazılımın etkisi, kurbanların kişilerine gönderilen aldatıcı SMS mesajları yoluyla artıyor ve ekip, etkin URL’leri kaldırılmaları için içerik sağlayıcılarına bildirdi.
Yönetici panelinde “iPhone” öğesinin bulunması, olası bir iOS varyantına işaret ediyor ve tüm platformlarda dikkatli olunması gerektiğini vurguluyor.
Kullanıcılar uygulama yükleme ve izin verme, önemli bilgileri güvenli bir şekilde saklama ve güvenlik yazılımları kullanma konusunda dikkatli olmalıdır.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin