Kaspersky Küresel Araştırma ve Tahlil Grubu, Android kullanıcılarını gaye alan yeni bir makus niyetli kampanya tespit etti. Bu kampanya, geçersiz düğün davetiyeleri kullanarak kurbanları Kaspersky tarafından Tria Stealer olarak etiketlenen makus maksatlı bir uygulamayı yüklemeye ikna ediyor. Akabinde kısa bildiri ve e-postalardaki içerikleri öbür datalarla birlikte saldırganlara iletiyor, aygıt sahiplerinin WhatsApp ve Telegram hesaplarını ele geçirerek arkadaşlarından yahut ailelerinden para istiyor. SMS bildirilerinin ele geçirilmesiyle saldırganlar, bu hizmetlerden OTP giriş kodlarını talep ederek ve ele geçirilen SMS bildirilerinden bunları okuyarak farklı uygulama yahut hizmetlerdeki (örneğin çevrimiçi bankacılık) hesaplara erişim sağlama talihine da sahip oluyor.
Android aygıtlarda, kullanıcıların uygulamaları Google Play üzere resmi uygulama mağazalarını atlayarak direkt APK belgesi biçiminde gelen yükleme evraklarından yüklemesi mümkün. Bu durum birtakım şartlarda kullanışlı olsa da, birebir vakitte risk de taşıyor ve bazen siber hatalılar tarafından makus maksatlı yazılım yaymak için kullanılıyor. Bunlar ortasında bilhassa Tria Stealer, Telegram ve WhatsApp’taki ferdî ve küme sohbetleri aracılığıyla bir APK yükleme belgesi biçiminde dağıtılıyor. Alıcıları kelamda bir düğüne davet etmek için toplumsal mühendislik kullanıyor ve davetiyeyi görüntülemek için APK’yı yüklemelerini istiyor.
Ele geçirilmiş bir WhatsApp hesabı üzerinden teslimat (solda) ve ele geçirilmiş bir Telegram hesabı aracılığıyla teslimat (sağda)
Kötü gayeli yazılım yüklendikten sonra metin bildirilerini okuma ve alma, telefon durumunu, arama günlüklerini ve ağ aktifliğini izleme üzere hassas bilgilere ve fonksiyonlara erişmesine müsaade veren müsaadelerin yanı sıra sistem seviyesinde ikazlar görüntüleme, art planda çalışma ve aygıt yine başlatıldıktan sonra otomatik olarak başlama üzere aksiyonlar gerçekleştirmesini istiyor. Bu müsaadeler toplu olarak aygıt süreçleri üzerinde kıymetli bir denetim sağlıyor ve saldırganlar bildiri ve e-postaları çalmak için kurbanların bildirimlerine müdahale edebiliyor. Uygulama, kurbanı isteklerin ve uygulamanın kendisinin legal olduğunu düşünmesi için kandırmak emeliyle dişli simgesine sahip bir sistem ayarları uygulamasını taklit ediyor.
Kullanıcıdan ayrıyeten telefon numarasını girmesi isteniyor ve bu numara aygıtın marka ve modeliyle birlikte saldırganlara gönderiliyor. Çalınan tüm bilgiler Telegram botları aracılığıyla saldırganlara aktarılıyor.
Özel irtibat kutusu telefon numarasını soruyor
Kaspersky GReAT Güvenlik Araştırmacısı Fareed Radzi, şunları söylüyor: “Bu makus emelli uygulama, kampanya örneklerinde bulunan eşsiz metin dizilerine dayanarak Kaspersky tarafından ‘Tria Stealer’ olarak isimlendirildi. Araştırmamız, bu yazılımın muhtemelen Endonezya lisanını konuşan tehdit aktörleri tarafından işletildiğini gösteriyor. Zira içeriğinde Endonezya lisanında yazılmış eserler bulduk, yani makus emelli yazılıma gömülü birkaç eşsiz dizge ve saldırganlar tarafından kullanılan Telegram botlarının isimlendirme modeli böyleydi. Hırsızlar önemli mali kayıplara ve kapalılık ihlallerine neden olabilir. Bireylerin ve kurumsal kullanıcıların her vakit tetikte olmaları ve tanıdıkları birinden gelse bile çevrimiçi ortamda aldıkları talepleri körü körüne takip etmekten kaçınmaları çok kıymetlidir.”
Securelist’te konu hakkında daha fazlasını okuyabilirsiniz.
Kaspersky, kendinizi taşınabilir tehditlerden müdafaanız için aşağıdaki teklifleri paylaşıyor:
- Uygulamaları sadece App Store, Google Play, Amazon Appstore yahut başkaları üzere resmi mağazalardan indirin. Bu marketlerdeki uygulamalar %100 inançlı değildir, fakat en azından denetim edilirler ve birtakım filtreleme sistemleri vardır. Her uygulama bu mağazalara giremez.
- Kullandığınız uygulamaların müsaadelerini denetim edin ve bilhassa metin bildirilerini okuma üzere yüksek riskli müsaadeler kelam konusu olduğunda yeni bir uygulamaya müsaade vermeden evvel dikkatlice düşünün.
- Kötü hedefli uygulamaları tespit edecek güvenilir bir güvenlik çözümü kullanın.
Kaynak: (BYZHA) Beyaz Haber Ajansı
