ESET araştırmacıları, Android ve iPhone kullanıcılarını hedef alan alışılmadık bir kimlik avı kampanyası türü keşfetti. Önde gelen bir Çek bankasının müşterilerini hedef alan, doğada gözlemlenen bir vakayı analiz ettiler.
PWA kimlik avı akışı (Kaynak: ESET)
Bu teknik, kullanıcının üçüncü taraf uygulama kurulumuna izin vermesine gerek kalmadan üçüncü taraf bir web sitesinden bir kimlik avı uygulaması yüklediği için dikkat çekicidir. Android’de bu, Google Play mağazasından yüklenmiş gibi görünen özel bir tür APK’nin sessizce yüklenmesiyle sonuçlanabilir. Tehdit, iOS kullanıcılarını da hedef aldı.
iOS’u hedef alan kimlik avı web siteleri, kurbanlara ana ekranlarına bir Progressive Web Uygulaması (PWA) eklemeleri talimatını verirken, Android’de PWA, tarayıcıdaki özel açılır pencereleri onayladıktan sonra yüklenir. Bu noktada, bu kimlik avı uygulamaları, her iki işletim sisteminde de taklit ettikleri gerçek bankacılık uygulamalarından büyük ölçüde ayırt edilemez.
PWA’lar esasen, yerel sistem istemlerinin kullanımıyla bu hissin güçlendirildiği, tek başına bir uygulama gibi hissettiren bir şeye paketlenmiş web siteleridir. PWA’lar, web siteleri gibi, platformlar arasıdır ve bu, bu PWA kimlik avı kampanyalarının iOS ve Android kullanıcılarını nasıl hedef alabileceğini açıklar. Bu yeni teknik, bir müşterinin markasını hedef alan tehditleri izleyen ESET Marka İstihbarat Servisi üzerinde çalışan ESET analistleri tarafından Çekya’da gözlemlendi.
Tehdidi analiz eden ESET araştırmacısı Jakub Osmani, “iPhone kullanıcıları için böyle bir eylem, güvenlikle ilgili ‘duvarlı bahçe’ varsayımlarını bozabilir” diyor.
ESET, aramalar, SMS ve kötü amaçlı reklamlar kullanarak kimlik avı dolandırıcılıklarını tespit ediyor
ESET analistleri, üç farklı URL teslim mekanizması kullanan mobil kullanıcıları hedef alan bir dizi kimlik avı kampanyası keşfetti. Bu mekanizmalar arasında otomatik sesli aramalar, SMS mesajları ve sosyal medya kötü amaçlı reklamları yer alıyor. Sesli arama teslimi, kullanıcıyı güncel olmayan bir bankacılık uygulaması hakkında uyaran ve kullanıcıdan sayısal klavyede bir seçenek seçmesini isteyen otomatik bir arama yoluyla yapılır.
Doğru düğmeye basıldıktan sonra, bir tweet’te bildirildiği gibi, SMS yoluyla bir kimlik avı URL’si gönderilir. SMS yoluyla ilk teslimat, Çek telefon numaralarına ayrım gözetmeksizin mesaj gönderilerek gerçekleştirildi. Gönderilen mesaj, kurbanları bağlantıyı ziyaret etmeye sosyal mühendislikle yönlendirmek için bir kimlik avı bağlantısı ve metni içeriyordu. Kötü amaçlı kampanya, Instagram ve Facebook gibi Meta platformlarındaki kayıtlı reklamlar aracılığıyla yayıldı. Bu reklamlar, “aşağıdan bir güncelleme indiren” kullanıcılar için sınırlı bir teklif gibi bir harekete geçirici mesaj içeriyordu.
İlk aşamada iletilen URL’yi açtıktan sonra, Android kurbanlarına iki farklı kampanya sunulur: hedeflenen bankacılık uygulaması için resmi Google Play mağaza sayfasını taklit eden yüksek kaliteli bir kimlik avı sayfası veya bu uygulama için bir taklit web sitesi. Buradan, kurbanlardan bankacılık uygulamasının “yeni bir sürümünü” yüklemeleri istenir.
WebAPK’lar güvenlik uyarılarını atlatıyor
Kimlik avı kampanyası ve yöntemi yalnızca ilerici web uygulamaları teknolojisi sayesinde mümkün. Kısacası, PWA’lar birden fazla platform ve cihazda çalışabilen geleneksel web uygulama teknolojileri kullanılarak oluşturulmuş uygulamalardır.
WebAPK’ler, Chrome tarayıcısı bir PWA’dan yerel bir Android uygulaması oluşturduğu için, ilerici web uygulamalarının yükseltilmiş bir sürümü olarak düşünülebilir: başka bir deyişle, bir APK. Bu WebAPK’ler normal yerel uygulamalar gibi görünür. Dahası, bir WebAPK yüklemek “güvenilmeyen bir kaynaktan yükleme” uyarılarından hiçbirini üretmez. Üçüncü taraf kaynaklardan yüklemeye izin verilmiyorsa bile uygulama yüklenir.
Bir grup, resmi Telegram API’si aracılığıyla girilen tüm bilgileri bir Telegram grup sohbetine kaydetmek için bir Telegram botu kullanırken, bir diğeri idari panele sahip geleneksel bir Komuta ve Kontrol (C&C) sunucusu kullandı. Osmani, “Kampanyaların iki ayrı C&C altyapısı kullandığı gerçeğine dayanarak, iki ayrı grubun birkaç bankaya karşı PWA/WebAPK kimlik avı kampanyaları yürüttüğünü belirledik” sonucuna vardı. Bilinen vakaların çoğu Çekya’da gerçekleşti ve ülke dışında yalnızca iki kimlik avı uygulaması ortaya çıktı (özellikle Macaristan ve Gürcistan’da).
ESET’in bu konuda yaptığı araştırmada bulunan tüm hassas bilgiler, işleme alınmak üzere derhal etkilenen bankalara gönderildi. ESET ayrıca birden fazla kimlik avı alan adının ve C&C sunucusunun kapatılmasına yardımcı oldu.