İran'ın bankacılık sektörünü hedef alan devasa bir kampanya, son aylarda büyük ölçüde büyüdü; yaklaşık 300 kötü amaçlı Android uygulaması, hesap kimlik bilgileri, kredi kartları ve kripto cüzdanları için kullanıcıları hedef alıyor.
Dört ay önce Sophos'tan araştırmacılar uzun bir kampanyayı detaylandırdı 40 içeren kötü amaçlı bankacılık uygulamaları farkında olmayan müşterilere ait kimlik bilgilerini toplamak için tasarlanmıştır. İslam Cumhuriyeti'nin en önemli finans kurumlarından dördünü (Bank Mellat, Bank Saderat, Resalat Bank ve İran Merkez Bankası) taklit eden bilgisayar korsanları, taklit uygulamalarını kurbanların telefonlarına yükleyip gizleyebildiler, oturum açma bilgilerini topladılar, SMS mesajlarını ele geçirdiler. tek kullanımlık şifreler ve kredi kartları dahil hassas mali bilgilerin çalınması.
Görünüşe göre bu sadece açılış salvosuydu. A Zimperium'dan yeni blog yazısı aynı, açıkça devam eden kampanyayla ilişkili 245 uygulamayı daha ortaya çıkardı; bunlardan 28'i daha önce VirusTotal'a kaydedilmemiş.
Ve bu yeni hazine yalnızca daha büyük değil, aynı zamanda ilk 40'tan daha çeşitli ve daha karmaşıktır; yeni hedef türleri ve gizlilik ve sebat taktikleri içerir.
285 Sahte Bankacılık Uygulaması
Yazdan bu yana keşfedilen 245 yeni uygulama, aktif olarak dört yeni İran bankasını hedef alarak orijinal 40'ın sınırlarını aşıyor ve onların görüşlerinde dört tane daha olduğuna dair bazı kanıtlar var.
Saldırganlar, bankaların yanı sıra Metamask, KuCoin ve Coinbase gibi popüler platformlar da dahil olmak üzere on altı kripto para birimi platformuyla ilgili verileri araştırmaya başladı.
Saldırganlar, bir düzine bankanın ve 16 kripto merkezinin hedeflenmesini kolaylaştırmak için cephaneliklerine bazı yeni araçlar da ekledi. Örneğin, altyapının kapatılmasını önlemek için kullandıkları küçük bir numara, tek amacı kimlik avı bağlantılarını dağıtmak olan bir komuta ve kontrol sunucusunu içeriyor. Araştırmacıların açıkladığı gibi bu, "sunucu URL'sinin, kaldırılma riski olmadan uygulamaya sabit kodlanmasına olanak tanıyor."
Ancak grubun en dikkate değer yeni taktiği, uygulamalarının erişilebilirlik hizmetlerini nasıl kötüye kullandığıdır.
Zimperium'un baş bilim adamı Nico Chiaraviglio, "Erişilebilirlik API'sini kullanırken, kullanıcı arayüzünün öğelerine programlı bir şekilde erişmenin bir yolunu buluyorlar" diye açıklıyor. Saldırganların, kötü niyetli bir etki yaratacak şekilde, bir kullanıcının yaptığı gibi cihazla görünmez bir şekilde etkileşime girebileceğini açıklıyor. Örneğin, “tehlikeli izinler talep edebiliyorlar (SMS okumak gibi) ve kullanıcıdan izni kabul etmesi istendiğinde, kullanıcı bildirimi görmeden 'Kabul et' seçeneğini tıklıyorlar. Veya kullanıcı uygulamayı kaldırmaya çalıştığında 'İptal'i tıklayarak kaldırma işlemini engelliyorlar."
Şu ana kadar sahte uygulamalar Android cihazlarla sınırlı. Ancak saldırganların eşyaları arasında araştırmacılar, bankacılık uygulamalarının Apple App Store sayfalarını taklit eden kimlik avı web sitelerini ortaya çıkardılar; bu da kampanyanın yakın gelecekte iPhone'lara genişleyebileceğini gösteriyor.
Bu gerçekleşmeden çok önce kampanya binlerce kişiye ulaşmış olacak. “Telegram kanallarından birinden edindiğimiz bilgilere göre binlerce mağdurun olduğunu biliyoruz. Ancak kullanılan kanallardan yalnızca birine erişebildik (biri özel olduğu için) ve geçmişte diğer kanalları kullanmadıklarının da garantisi yok.”
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/endpoint-security/deluge-of-nearly-300-fake-apps-floods-iranian-banking-sector
