Şubat 2022’den bu yana, kurumsal güvenlik ihlallerinde kullanılan tek seferlik parolalara (OTP) saldırmak için özel olarak tasarlanmış son derece gelişmiş bir Android kötü amaçlı yazılım kampanyası başlatıldı.
zLabs araştırmacıları, 107.000’den fazla kötü amaçlı yazılım örneğini izlerken, saldırganların güvenlik önlemlerini atlatmak ve gizli kurumsal bilgilere erişmek için taktiklerini nasıl değiştirdiklerini fark ettiler.
Bu uzun süren operasyon, hesapların korunması için OTP’lerin yaygın kullanımından yararlanarak siber savunma sistemleri ile giderek daha karmaşık hale gelen mobil tehditler arasındaki sürekli mücadeleyi vurguluyor.
Zimperium’daki siber güvenlik araştırmacıları yakın zamanda 113 ülkede milyonlarca Android kullanıcısını etkileyen yeni bir SMS hırsızı tespit etti.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
Android SMS Hırsızı
Çeşitli yöntemler kullanarak, bu son derece gelişmiş Android kötü amaçlı yazılım saldırısı herhangi bir cihazı ihlal edebildi. Meşru hizmetler gibi davranan yanıltıcı reklamlar ve telegram botları aracılığıyla SMS çalan kötü amaçlı yazılımlar yaydılar.
Kurbanları, telefon numaralarını kullanarak kendileri için özel olarak tasarlanmış kötü amaçlı APK’ları yüklemeye zorlandı. Virüs daha sonra SMS’e erişebildi ve OTP’yi kaldırmayı mümkün kıldı.
.webp)
Başlangıçta, kampanyanın altyapısı C&C sunucusu olarak Firebase’ı içeriyordu ve daha sonra gizlenmiş C&C URL’leri ve kötü amaçlı APK’lar içeren GitHub depolarına geçti. Laravel çerçevesi çoğu C&C sunucusu için yaygın olarak kullanıldı.
.webp)
Başarılı bir şekilde yüklendiğinde, bu kötü amaçlı yazılım kurbandan SMS mesajları ve cihaz bilgileri de dahil olmak üzere kişisel bilgileri çalacak ve bunları tehdit aktörleri tarafından yönetilen sunuculara gönderecektir. Bu, hem kişisel güvenlik endişeleri hem de kurumsal güvenlik açısından potansiyel olarak tehlikelidir.
Küresel Android kötü amaçlı yazılım operasyonu benzeri görülmemiş bir boyuta ulaştı; 113 ülke etkilendi ve başlıca hedefler Rusya ve Hindistan oldu.
.webp)
Araştırmacılar, 107.000’den fazla farklı kötü amaçlı yazılım örneğini ortaya çıkardı; bunların %95’i normal depolar tarafından bilinmiyordu ve bu da gelişmiş kaçınma yeteneklerini gösteriyordu.
Operasyonda altı yüzden fazla küresel markaya ait tek seferlik şifreler (OTP’ler) takip edildi ve potansiyel olarak yüz milyonlarca kullanıcıyı etkiledi.
Altyapı, kötü amaçlı yazılım yaymak için kullanılan 13 komuta ve kontrol (C&C) sunucusundan ve yaklaşık iki bin altı yüz Telegram botundan oluşuyordu.
İlgili bir web sayfası, fastsms[.]Su, çalınan telefon numaralarının ve ele geçirilen OTP’lerin konuma ve ağ operatörüne göre fiyatlandırıldığı kampanyanın arkasındaki finansal nedeni açıkladı.
Kötü amaçlı yazılımın, özellikle bulut tabanlı büyük bir e-posta ve ofis paketi sağlayıcısından gelen e-postaları hedeflemek üzere tasarlandığı, bu da yazılımın yüksek değerli kurumsal hesaplara odaklandığını gösteriyor.
Bu kampanyanın boyutu ve karmaşıklığı, mobil güvenlikteki tehdit ortamının nasıl değiştiğini gösteriyor.
Mobil cihazlarda kötü amaçlı yazılımlar için gelişen tehdit ortamı, bireyler ve kuruluşlar için önemli riskler oluşturmaktadır. SMS ve OTP çalmak daha geniş çaplı dolandırıcılık faaliyetlerine yol açabilir.
Bu durum, bilinmeyen kötü amaçlı yazılımlara karşı koruma sağlamak için kullanıcı eğitimi ve gelişmiş tespit teknolojileri gibi stratejileri kapsayan çok katmanlı güvenlik yaklaşımlarının kullanılmasını gerekli kılıyor.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access