Çinli tehdit aktörleri, özel hazırlanmış Android uygulamalarını kullanarak doğrudan banka hesaplarından para çalmanın yeni ve tehlikeli bir yolunu geliştirdi.
Ghost Tapped olarak bilinen bu kötü amaçlı uygulamalar, temassız ödemeleri destekleyen kablosuz teknolojinin aynısı olan Yakın Alan İletişimi (NFC) teknolojisinden yararlanıyor.
Suçlular, fiziksel banka kartınıza ihtiyaç duymak yerine, ödeme bilgilerini kendi cihazları aracılığıyla ileterek dünyanın herhangi bir yerinden işlemleri tamamlayabilir.
Saldırı şaşırtıcı derecede basit ama etkili bir şekilde çalışıyor. Kurbanlar, aldatıcı mesajlar ve telefon çağrıları yoluyla hedef alınmakta, yasal bankacılık veya ödeme uygulamaları gibi görünen kötü amaçlı APK dosyalarını indirmeleri için kandırılmaktadır.
Kurulumun ardından kullanıcılardan, kartı güvenlik amacıyla kaydettiklerine inanarak banka kartlarını telefonlarına dokunmaları isteniyor.
Onların bilmediği uygulama, kart verilerini yakalıyor ve suçlular tarafından işletilen bir komuta ve kontrol sunucusuna gönderiyor.
Güvenlik uzmanları, Ağustos 2024’ten Ağustos 2025’e kadar bu kötü amaçlı uygulamaların 54’ten fazla farklı sürümünü tespit etti ve yarım düzineden fazla ana varyant Telegram’da aktif olarak satılıyor ve tanıtılıyor.
Group-IB analistleri, kötü amaçlı yazılımın iki parçalı bir sistem aracılığıyla çalıştığını belirledi: kurbanın cihazına yüklenen ve ödeme kartı bilgilerini yakalayan bir “okuma” uygulaması ve suçlular tarafından mağazalarda ve ATM’lerde yetkisiz işlemleri tamamlamak için kullanılan bir “dinleme” uygulaması.
Enfeksiyon Mekanizması ve Röle Saldırısı
Group-IB araştırmacıları, kötü amaçlı yazılımın, kurbanın ödeme kartı ile suçlunun cihazı arasında internete bağlı sunucular aracılığıyla doğrudan bir aktarım kurarak çalıştığını belirtti.
.webp)
Okuyucu uygulamasını çalıştıran virüslü bir Android telefona kart dokundurulduğunda, ödeme verileri yakalanıp şifreleniyor.
Bu veriler C2 sunucusu üzerinden geçerek suçlunun tapper uygulamasına ulaşıyor ve bu uygulama da onu yasal ödeme işlemcilerinden çalınan veya sahtekarlıkla elde edilen gerçek satış noktası terminallerine iletiyor.
POS terminaline göre, sanki suçlunun cihazı gerçek bir banka kartıymış gibi işlem tamamen meşru görünüyor.
Teknik uygulama, gelişmiş mühendisliği ortaya koymaktadır. Uygulamalar aşağıdakiler de dahil olmak üzere belirli NFC izinleri talep eder: android.permission.NFC Ve android.permission.INTERNET işlev görmek.
Kurulumun ardından cihaz tanımlayıcılarını ve kimlik doğrulama bilgilerini toplarlar ve bu bilgileri WebSocket veya MQTT protokollerini kullanarak uzak sunuculara gönderirler.
Kasım 2024 ile Ağustos 2025 arasında ilişkili bir grup, bu yöntemi kullanarak en az 355.000 ABD doları değerinde sahtekarlık işlemi gerçekleştirdi.
Dünya çapında binlerce kurban halihazırda bu planların kurbanı oldu; Amerika Birleşik Devletleri, Singapur, Çek Cumhuriyeti ve Malezya dahil birçok ülkede meydana gelen tutuklamalar, saldırının gerçek dünyada artan etkisini gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
