Kaspersky Küresel Araştırma ve Tahlil Grubu, Android kullanıcılarını amaç alan yeni bir makus niyetli kampanya tespit etti. Bu kampanya, düzmece düğün davetiyeleri kullanarak kurbanları Kaspersky tarafından Tria Stealer olarak etiketlenen makûs emelli bir uygulamayı yüklemeye ikna ediyor. Akabinde kısa bildiri ve e-postalardaki içerikleri başka datalarla birlikte saldırganlara iletiyor, aygıt sahiplerinin WhatsApp ve Telegram hesaplarını ele geçirerek arkadaşlarından yahut ailelerinden para istiyor. SMS iletilerinin ele geçirilmesiyle saldırganlar, bu hizmetlerden OTP giriş kodlarını talep ederek ve ele geçirilen SMS bildirilerinden bunları okuyarak farklı uygulama yahut hizmetlerdeki (örneğin çevrimiçi bankacılık) hesaplara erişim sağlama bahtına da sahip oluyor.
Android aygıtlarda, kullanıcıların uygulamaları Google Play üzere resmi uygulama mağazalarını atlayarak direkt APK belgesi biçiminde gelen yükleme belgelerinden yüklemesi mümkün. Bu durum kimi şartlarda kullanışlı olsa da, tıpkı vakitte risk de taşıyor ve bazen siber hatalılar tarafından berbat gayeli yazılım yaymak için kullanılıyor. Bunlar ortasında bilhassa Tria Stealer, Telegram ve WhatsApp’taki ferdî ve küme sohbetleri aracılığıyla bir APK yükleme belgesi biçiminde dağıtılıyor. Alıcıları kelamda bir düğüne davet etmek için toplumsal mühendislik kullanıyor ve davetiyeyi görüntülemek için APK’yı yüklemelerini istiyor.
Ele geçirilmiş bir WhatsApp hesabı üzerinden teslimat (solda) ve ele geçirilmiş bir Telegram hesabı aracılığıyla teslimat (sağda)
Kötü gayeli yazılım yüklendikten sonra metin iletilerini okuma ve alma, telefon durumunu, arama günlüklerini ve ağ aktifliğini izleme üzere hassas datalara ve fonksiyonlara erişmesine müsaade veren müsaadelerin yanı sıra sistem seviyesinde ikazlar görüntüleme, art planda çalışma ve aygıt tekrar başlatıldıktan sonra otomatik olarak başlama üzere aksiyonlar gerçekleştirmesini istiyor. Bu müsaadeler toplu olarak aygıt süreçleri üzerinde kıymetli bir denetim sağlıyor ve saldırganlar bildiri ve e-postaları çalmak için kurbanların bildirimlerine müdahale edebiliyor. Uygulama, kurbanı isteklerin ve uygulamanın kendisinin yasal olduğunu düşünmesi için kandırmak maksadıyla dişli simgesine sahip bir sistem ayarları uygulamasını taklit ediyor.
Kullanıcıdan ayrıyeten telefon numarasını girmesi isteniyor ve bu numara aygıtın marka ve modeliyle birlikte saldırganlara gönderiliyor. Çalınan tüm bilgiler Telegram botları aracılığıyla saldırganlara aktarılıyor.
Özel bağlantı kutusu telefon numarasını soruyor
Kaspersky GReAT Güvenlik Araştırmacısı Fareed Radzi, şunları söylüyor: “Bu makus emelli uygulama, kampanya örneklerinde bulunan eşsiz metin dizilerine dayanarak Kaspersky tarafından ‘Tria Stealer’ olarak isimlendirildi. Araştırmamız, bu yazılımın muhtemelen Endonezya lisanını konuşan tehdit aktörleri tarafından işletildiğini gösteriyor. Zira içeriğinde Endonezya lisanında yazılmış eserler bulduk, yani makûs hedefli yazılıma gömülü birkaç eşsiz dizge ve saldırganlar tarafından kullanılan Telegram botlarının isimlendirme modeli böyleydi. Hırsızlar önemli mali kayıplara ve zımnilik ihlallerine neden olabilir. Bireylerin ve kurumsal kullanıcıların her vakit tetikte olmaları ve tanıdıkları birinden gelse bile çevrimiçi ortamda aldıkları talepleri körü körüne takip etmekten kaçınmaları çok değerlidir.”
Securelist’te konu hakkında daha fazlasını okuyabilirsiniz.
Kaspersky, kendinizi taşınabilir tehditlerden müdafaanız için aşağıdaki teklifleri paylaşıyor:
- Uygulamaları sadece App Store, Google Play, Amazon Appstore yahut başkaları üzere resmi mağazalardan indirin. Bu marketlerdeki uygulamalar %100 inançlı değildir, lakin en azından denetim edilirler ve birtakım filtreleme sistemleri vardır. Her uygulama bu mağazalara giremez.
- Kullandığınız uygulamaların müsaadelerini denetim edin ve bilhassa metin bildirilerini okuma üzere yüksek riskli müsaadeler kelam konusu olduğunda yeni bir uygulamaya müsaade vermeden evvel dikkatlice düşünün.
- Kötü hedefli uygulamaları tespit edecek güvenilir bir güvenlik çözümü kullanın.
Kaynak: (BYZHA) Beyaz Haber Ajansı