ESET güvenlik analistleri, bankacılık dolandırıcılığı için kullanılan yeni bir kimlik avı kampanyası biçimini keşfetti ve tanımladı. Bu sefer, kötü amaçlı kod iletmek için kullanılan standart kimlik avı teknikleri yeni bir yöntemle birleştirildi: Saldırganlar Android ve iOS kullanıcılarını hedef aldı. iOS PWA uygulamaları aracılığıyla ve Android platformu durumunda da WebAPK aracılığıyla. Tespit edilen durumlarda, kurulumlar üçüncü taraf uygulamalarının kurulumu hakkında herhangi bir uyarı içermiyordu. Gözlemlenen uygulamaların çoğu Çek bankalarının müşterilerini hedef alıyordu, ancak ESET uzmanları ayrıca Macaristan ve Gürcistan'daki bankaları hedef alan uygulamalara da dikkat çekti. Analiz edilen verilere dayanarak, kampanyaların arkasında iki farklı saldırgan grubunun olduğu sonucuna vardılar. ESET, kurban bankaları bu tehditler hakkında bilgilendirdi ve ayrıca çeşitli kimlik avı alan adlarını ve kontrol sunucularını kaldırmaya yardımcı oldu.
ESET güvenlik uzmanları, esas olarak Çek bankalarının müşterilerini hedef alan alışılmadık bir kimlik avı kampanyası türü keşfetti. Yeni keşfedilen kimlik avı tekniği, saldırganların kurbanları uygulamanın resmi olmayan bir kaynaktan olduğunu bilmeden üçüncü taraf bir web sitesinden kimlik avı uygulamaları yüklemeye kandırabilmesi bakımından diğerlerinden farklıdır. Android platformunda, bu durum özel bir APK uygulamasının (Android) sessizce yüklenmesine bile yol açabilir Appruhsat Package – uygulamaları dağıtmak ve yüklemek için kullanılan bir yazılım paketi) resmi mağazadan yüklenmiş gibi görünüyor Google Play.
Yeni açıklanan tehdit akıllı telefon kullanıcılarını da hedef aldı iPhone işletim sistemi ile iOS. Platformu hedef alan kimlik avı web siteleri iOS mağdurlara bir PWA (İlerici Web Uygulaması) eklemeleri talimatı verildi App – Progressive Web App’i ana ekranlarınıza taşıyın.
'Her iki platformda da Android ve iOS, kimlik avı uygulamaları taklit ettikleri gerçek bankacılık uygulamalarından büyük ölçüde ayırt edilemezdi. PWA uygulamaları esasen görünüşte bağımsız bir uygulamaya sarılmış web siteleriydi ve özgünlüğü sözde PWA'ların kullanımıyla da destekleniyordu. yerel sistem istemleri – telefon bildirimleri. PWA uygulamaları, web siteleri gibi farklı işletim sistemleri için mevcuttur. Bu durum, bu kimlik avı kampanyalarının platform kullanıcılarını nasıl hedef alabileceğini açıklar. iOS ve Android. Akıllı telefon kullanıcıları için iPhone Böyle bir kampanya, platformun 'kapalı ekosistemi'nin güvenliğine ilişkin yerleşik varsayımları zayıflatabilir iOS," diyor ESET'in Prag araştırma şubesinde güvenlik analisti olan ve yeni kimlik avı yöntemini analiz eden Jakub Osmani.
İlginizi çekebilir
Bir telefon görüşmesi, SMS ve sosyal ağlardaki bir reklam, indirmeye çağırıyordu
Keşfedilen kimlik avı kampanyalarında, kurbanlara kötü amaçlı web adresleri dağıtmak için üç farklı yöntem kullanıldı. Bu mekanizmalar arasında otomatik sesli aramalar, kısa mesajlar ve sosyal ağlardaki kötü amaçlı reklamlar (kötü amaçlı reklamlar) yer alıyordu. Sesli arama, saldırganların kullanıcıları güncelliğini yitirmiş bir bankacılık uygulaması hakkında "uyardığı" ve onlardan derhal güncelleme yapmalarını istediği otomatik bir arama yoluyla gerçekleştirildi. Daha sonra kullanıcılardan sayısal tuş takımında bir sonraki adımı seçmeleri istendi. Sağ düğmeye bastıktan sonra SMS yoluyla kimlik avı URL'si gönderildi.
'Bulgularımıza göre sahte URL adresleri rastgele Çek telefon numaralarına gönderilmiş. Mesajda, saldırganların kurbanı bağlantıya tıklamaya yönlendirmek için kullandıkları bir kimlik avı bağlantısı ve metni yer alıyordu. Kötü niyetli kampanya, Meta'nın Instagram ve Twitter gibi sosyal medya platformlarındaki kayıtlı reklamlar aracılığıyla da yayıldı. Facebook. Bu reklamlar, kullanıcılara sınırlı bir teklif olarak bir güncellemenin indirilmesi gibi bir eylem çağrısında bulunuyordu.Osmani açıklıyor.
Android platformunda ise kötü amaçlı URL adresine tıklandığında iki farklı mesaj daha görüntülendi. variaBu kimlik avı saldırısının nedeni, resmi mağaza sayfasını taklit eden yüksek kaliteli bir kimlik avı sayfası olabilir Google Play indirilecek bir bankacılık uygulaması veya yine bankacılık uygulamasını indirme seçeneğini gösteren bir web sitesinin taklidi. Bir sonraki adımda mağdurlardan bankacılık uygulamasının "yeni sürümünü" yüklemeleri istendi.
İlginizi çekebilir
Kullanıcılar yükleme sırasında kimlik avı uygulaması konusunda uyarılmadı
Anlatılan kimlik avı kampanyası ve yöntemleri ancak ilerici web uygulamaları teknolojisi (PWA) sayesinde mümkün olmaktadır. PWA'lar, birden fazla platform ve cihazda çalışabilen geleneksel web uygulama teknolojileri kullanılarak oluşturulur. WebAPK uygulamaları, ilerici web uygulamalarının daha üst versiyonları olarak düşünülebilir. Tarayıcı Chrome PWA'dan yerel bir Android APK oluşturur. WebAPK uygulamaları daha sonra yalnızca bir işletim sistemi için tasarlanmış uygulamalar olan normal yerel uygulamalar gibi görünür - bu durumda, Android platformu için yerel uygulamalar gibi görünürler. Ayrıca, bu kimlik avı kampanyası kapsamında bir WebAPK uygulaması yüklemek, "güvenilmeyen bir kaynaktan uygulama yükleme" konusunda herhangi bir uyarıyı tetiklemez. Üçüncü taraf uygulama yüklemesine izin verilmese bile böyle bir uygulama yüklenir.
ESET analistlerine göre, kampanyaların arkasında iki farklı saldırgan grubu vardı. Bir grup, kurbanların bir grup sohbetine girdiği tüm bilgileri kaydetmek için sosyal platform Telegram'daki bir botu kullandı. chatresmi Telegram API'si üzerinden. İkinci grup reklamlı geleneksel bir C&C sunucusu kullandıminitabakalaşma paneli.
'Saldırganların tespit edilen kampanyalarda iki farklı kontrol altyapısı kullandığı göz önüne alındığında, Çek bankalarına yönelik phishing kampanyalarının arkasında iki ayrı saldırgan grubunun olması muhtemeldir.ESET'ten Osmani sözlerini bitiriyor.
Analiz edilen vakaların çoğu Çek Cumhuriyeti'nde gerçekleşti; Çek bölgesi dışında, özellikle Macaristan ve Gürcistan'da yalnızca iki kimlik avı uygulaması ortaya çıktı. ESET analistlerinin bu vakalarda yakaladığı tüm hassas bilgiler, daha ileri işlemler için derhal etkilenen bankalara gönderildi. ESET ayrıca çeşitli kimlik avı etki alanlarının ve kontrol sunucularının kaldırılmasına da yardımcı oldu.
