Siber güvenlik firması ESET, popüler kripto para cüzdanlarını taklit eden 40’tan fazla web sitesini ortaya çıkardı. ESET Araştırma Biriminin bulgularına göre saldırganlar sahte ve meşru siteler, Telegram ve Facebook grupları aracılığıyla kötü amaçlı uygulamalar dağıttı.
Siber güvenlik şirketi ESET, Android ve iOS işletim sistemlerini (iPhone) çalıştıran mobil cihazları hedefleyen sofistike bir kripto para birimi planını keşfetti ve izini sürdü. Kötü amaçlı uygulamalar, Metamask, Coinbase, Güven Cüzdanı, TokenPocket, Bitpie, ımToken ve OneKey gibi meşru cüzdan hizmetlerini taklit eden sahte web siteleri aracılığıyla dağıtılır. Bu sahte web siteleri, yanıltıcı makaleler kullanan meşru sitelere yerleştirilen reklamları kullanır. Ayrıca tehdit aktörleri, bu kötü niyetli planı daha da yaygınlaştırmak için Telegram ve Facebook grupları aracılığıyla ajanları işe alıyor. Kötü amaçlı uygulamaların temel amacı kullanıcıların parasını çalmaktır ve şimdiye kadar ESET bu planın çoğunlukla Çinli kullanıcıları hedef aldığını tespit etmiştir. ESET, bu tekniklerin diğer pazarlara da yayılmasını beklediğini paylaştı.
Mesajlaşma platformları aracılığıyla yayıldılar
ESET, gelişmiş gizlilik ve şifreleme özelliklerine sahip ücretsiz ve popüler bir çoklu platform mesajlaşma uygulaması olan Telegram’da kripto para birimi mobil cüzdanlarının kötü amaçlı kopyalarını tanıtan düzinelerce grup buldu. Bu grupların, daha fazla dağıtım ortağı arayan bu planın arkasındaki tehdit aktörü tarafından yaratıldığı düşünülüyor ve bu faaliyet Mayıs 2021’den beri devam ediyor. Ekim 2021 itibariyle, bu Telegram grupları daha fazla dağıtım ortağı aramak için en az 56 Facebook grubunda paylaşıldı ve tanıtıldı. Kasım 2021’de, iki meşru Çinli web sitesi kullanılarak kötü amaçlı cüzdanların dağıtımı tespit edildi.
Kimi ve hangi siteyi takip ettiğinize dikkat edin
Bu dağıtım vektörlerinin yanı sıra, yalnızca mobil kullanıcıları hedefleyen düzinelerce sahte cüzdan web sitesi de keşfedildi. Potansiyel bir kurban web sitelerinden birini ziyaret edebilir ve Android veya iOS platformu için truva atı bulaşmış bir cüzdan uygulaması indirebilir. Bu kötü amaçlı uygulama, yüklü olduğu işletim sistemine bağlı olarak farklı davranır. Android için, cihazlarında henüz yasal bir cüzdan uygulaması yüklü olmayan yeni kripto kullanıcılarını hedef aldığı düşünülüyor. iOS aygıtlarında kurbanlar her iki sürümü de, yasal sürümü App Store’dan ve kötü amaçlı sürümü bir web sitesinden yükleyebilir.
iOS için bu kötü amaçlı uygulamalar App Store’da kullanılamaz. Bu uygulamalar, şüpheli kod imzalama sertifikası ekleyen yapılandırma profilleri kullanılarak indirilmeli ve yüklenmelidir. Google Play’de, Google App Defense Alliance’ın ortağı ESET’in talebi üzerine, Ocak 2022’de Google, 13 kötü amaçlı uygulamayı resmi mağazadan kaldırdı. Ayrıca, bu tehdidin kaynak kodu sızdırılmış ve birkaç Çinli web sitesinde paylaşılmıştır. Bu, çeşitli tehdit aktörlerini cezbedebilir ve bu tehdidi daha da yaygınlaştırabilir.
Saldırıları ortaya çıkaran ESET araştırmacısı Lukáš Štefanko şunları söyledi: “Bu kötü amaçlı uygulamalardan bazıları, güvenli olmayan bir HTTP bağlantısı kullanarak saldırganların sunucusuna gizli kurban tohum ifadeleri gönderdiğinden, kurbanlar için başka bir tehdit oluşturuyor. Bu, kurbanların paralarının bu planın operatörü tarafından ve aynı ağda dinleme yapan farklı bir saldırgan tarafından çalınabileceği anlamına gelir. Ayrıca Jaxx Liberty cüzdanını taklit eden 13 kötü amaçlı uygulama keşfettik. Bu uygulamalar Google Play Store’da mevcuttur. Paranızı yönetmek için hangi mobil uygulamayı kullandığınızı çok dikkatli seçmelisiniz.”