Reklamı Kapat

ESET güvenlik analistleri, banka dolandırıcılığı için kullanılan yeni bir kimlik avı kampanyası biçimi keşfetti ve açıkladı. Kötü amaçlı kod dağıtmaya yönelik standart kimlik avı teknikleri bu kez yeni bir yöntemle birleştirildi: Saldırganlar, PWA uygulamaları aracılığıyla Android ve iOS platformu kullanıcılarını, Android platformunda ise WebAPK aracılığıyla hedef aldı. Kurulumlarda tespit edilen durumlarda üçüncü parti uygulamaların kurulduğuna dair herhangi bir uyarı yer almıyordu. Gözlemlenen uygulamaların çoğu Çek bankalarının müşterilerini hedef alıyordu ancak ESET uzmanları, Macaristan ve Gürcistan'daki bankaları da hedef alan uygulamalara dikkat çekti. Analiz edilen verilere dayanarak kampanyaların arkasında iki farklı saldırgan grubunun olduğu sonucuna vardılar. ESET, kurban bankaları bu tehditler hakkında bilgilendirdi ve ayrıca çeşitli kimlik avı alan adlarının ve kontrol sunucularının kaldırılmasına da yardımcı oldu.

ESET güvenlik uzmanları, çoğunlukla Çek bankalarının müşterilerini hedef alan alışılmadık türde bir kimlik avı kampanyası keşfetti. Yeni keşfedilen kimlik avı tekniği, saldırganların kurbanları, bunun resmi olmayan bir kaynaktan gelen bir uygulama olduğunu bilmeden, üçüncü taraf bir web sitesinden kimlik avı uygulamaları yüklemeleri için kandırabilmesi açısından diğerlerinden farklıdır. Android platformunda bu, resmi Google Play mağazasından yüklenmiş gibi görünen özel bir APK türünün (Android Uygulama Paketi) sessiz kurulumuna bile yol açabilir.

Yeni tanımlanan tehdit, iOS işletim sistemine sahip iPhone akıllı telefon kullanıcılarını da hedef alıyordu. iOS platformunu hedef alan kimlik avı web siteleri, kurbanlara ana ekranlarına Progresif Web Uygulaması (PWA) eklemeleri talimatını verdi.

'Her iki platformda da (Android ve iOS) kimlik avı uygulamaları, taklit ettikleri gerçek bankacılık uygulamalarından büyük ölçüde ayırt edilemezdi. PWA uygulamaları temelde görünüşte ayrı bir uygulamaya sarılmış web siteleriydi; orijinalliğinin görünümü aynı zamanda yerel sistem istemleri adı verilen telefon bildirimleri kullanılarak da destekleniyordu. Web siteleri gibi PWA uygulamalarının da farklı işletim sistemleri için mevcut olması, bu kimlik avı kampanyalarının hem iOS hem de Android kullanıcılarını nasıl hedefleyebileceğini açıklıyor. iPhone akıllı telefon kullanıcıları için böyle bir kampanya, iOS platformunun "kapalı ekosisteminin" güvenliğine ilişkin uzun süredir var olan varsayımları yerle bir edebilir." diyor ESET'in Prag araştırma şubesinde güvenlik analisti olan ve yeni kimlik avı yöntemini analiz eden Jakub Osmani.

Bir telefon görüşmesi, SMS ve sosyal ağlardaki bir reklam, indirmeye çağırıyordu

Keşfedilen kimlik avı kampanyalarında, kurbanlara kötü amaçlı web adresleri dağıtmak için üç farklı yöntem kullanıldı. Bu mekanizmalar arasında otomatik sesli aramalar, kısa mesajlar ve sosyal ağlardaki kötü amaçlı reklamlar (kötü amaçlı reklamlar) yer alıyordu. Sesli arama, saldırganların kullanıcıları güncelliğini yitirmiş bir bankacılık uygulaması hakkında "uyardığı" ve onlardan derhal güncelleme yapmalarını istediği otomatik bir arama yoluyla gerçekleştirildi. Daha sonra kullanıcılardan sayısal tuş takımında bir sonraki adımı seçmeleri istendi. Sağ düğmeye bastıktan sonra SMS yoluyla kimlik avı URL'si gönderildi.

'Bulgularımıza göre sahte URL adreslerinin dağıtımı rastgele Çek telefon numaralarına gerçekleşti. Mesajda bir kimlik avı bağlantısı ve saldırganların kurbanı bağlantıya tıklaması için kandırmak için kullandıkları metin yer alıyordu. Kötü niyetli kampanya, Meta'nın Instagram ve Facebook gibi sosyal ağlarındaki kayıtlı reklamlar yoluyla da yayıldı. Bu reklamlar, kullanıcılar için sınırlı bir teklif biçimindeki bir güncellemenin indirilmesi gibi bazı eylemlerin yapılmasını gerektiriyordu.Osmani açıklıyor.

Android platformunda, kötü amaçlı URL'ye tıklandıktan sonra, bu kimlik avı saldırısının iki farklı türü daha ortaya çıktı: ya indirilebilir bir bankacılık uygulamasıyla Google Play Store'un resmi sayfasını taklit eden yüksek kaliteli bir kimlik avı sayfası ya da taklit web sitesi yine bankacılık uygulamasını indirme seçeneğini gösteriyor. Bir sonraki adımda mağdurlar bankacılık uygulamasının "yeni versiyonunu" yüklemeye davet edildi.

Kullanıcılar yükleme sırasında kimlik avı uygulaması konusunda uyarılmadı

Açıklanan kimlik avı kampanyası ve yöntemleri yalnızca ilerici web uygulamaları teknolojisi (PWA'lar) sayesinde mümkündür. PWA'lar, birden fazla platform ve cihazda çalışabilen geleneksel web uygulama teknolojileri kullanılarak oluşturulmuştur. WebAPK uygulamaları daha sonra ilerici web uygulamalarının daha yüksek sürümleri olarak düşünülebilir. Chrome, bir PWA'dan Android için yerel bir APK oluşturur. WebAPK uygulamaları, yalnızca tek bir işletim sistemine yönelik uygulamalar olan normal yerel uygulamalar gibi görünür; bu durumda, Android platformu için yerel uygulamalar gibi görünürler. Ayrıca, bu kimlik avı kampanyasına WebAPK uygulamasının yüklenmesi herhangi bir "güvenilmeyen kaynaktan uygulama yükleyin" uyarısını tetiklemez. Böyle bir uygulama, üçüncü taraf uygulamaların kurulumuna izin verilmese bile kurulacaktır.

ESET analistlerine göre kampanyaların arkasında iki farklı saldırgan grubu vardı. Bir grup, kurbanlardan girilen tüm bilgileri resmi Telegram API'si aracılığıyla bir grup sohbetine kaydetmek için Telegram sosyal platformundaki bir botu kullandı. İkinci grup, yönetim panelli geleneksel bir C&C kontrol sunucusunu kullandı.

'Saldırganların tespit edilen kampanyalarda iki farklı kontrol altyapısı kullandığı göz önüne alındığında, Çek bankalarına yönelik phishing kampanyalarının arkasında iki ayrı saldırgan grubunun olması muhtemeldir.ESET'ten Osmani sözlerini bitiriyor.

Analiz edilen vakaların çoğu Çek Cumhuriyeti'nde gerçekleşti; Çek bölgesi dışında, özellikle Macaristan ve Gürcistan'da yalnızca iki kimlik avı uygulaması ortaya çıktı. ESET analistlerinin bu vakalarda yakaladığı tüm hassas bilgiler, daha ileri işlemler için derhal etkilenen bankalara gönderildi. ESET ayrıca çeşitli kimlik avı etki alanlarının ve kontrol sunucularının kaldırılmasına da yardımcı oldu.

Bugünün en çok okunanları

.