SMS Hırsızı Mobil Kötü Amaçlı Yazılım
Android cihazlarını hedef alan küresel bir siber saldırı, SMS çalan kötü amaçlı yazılımları yaymak ve 600'den fazla hizmet için tek seferlik 2FA şifrelerini (OTP'ler) yakalamak için binlerce Telegram botunu kullanıyor. Araştırmacılar bu operasyonu Şubat 2022'den beri izliyor ve kampanyayla bağlantılı en az 107.000 benzersiz kötü amaçlı yazılım örneği tespit etti. Saldırganlar, muhtemelen kimlik doğrulamayı kolaylaştırmak ve anonimliği artırmak için ele geçirilen cihazları kullanarak finansal teşviklerle hareket ediyor gibi görünüyor.
İçindekiler
Binlerce Telegram Botu SMS Hırsızı Kötü Amaçlı Yazılımını Yaydı
SMS çalan kötü amaçlı yazılım iki ana yöntemle yayılıyor: kötü amaçlı reklamcılık ve kurbanlarla iletişimi otomatikleştiren Telegram botları.
İlk yöntemde mağdurlar, meşru görünmek ve mağdurun güvenini kazanmak için şişirilmiş indirme sayıları gösteren sahte Google Play sayfalarına yönlendiriliyor.
Telegram'da botlar korsan Android uygulamaları sunuyor ve APK dosyasını sağlamadan önce kurbanın telefon numarasını istiyor. Bu numara, bot tarafından kişiselleştirilmiş bir APK oluşturmak, kişiselleştirilmiş izlemeyi veya gelecekteki saldırıları mümkün kılmak için kullanılır.
Operasyon, tümü 13 Komuta ve Kontrol (C2) sunucusu tarafından yönetilen, çeşitli Android APK'larını dağıtmak için yaklaşık 2.600 Telegram botuna dayanıyor. Etkilenen bireylerin çoğunluğu Hindistan ve Rusya'da olmakla birlikte, Brezilya, Meksika ve ABD'de de önemli sayıda vaka bildirilmektedir.
Tehdit Aktörleri Mağdurlardan Nasıl Fon Elde Ediyor?
Kötü amaçlı yazılım, ele geçirilen SMS mesajlarını 'fastsms.su' web sitesindeki bir API uç noktasına gönderir. Bu site, kullanıcıların anonimlik sağlamak ve çevrimiçi platformlarda kimlik doğrulamak için satın alabilecekleri, çeşitli ülkelerden 'sanal' telefon numaraları sunmaktadır. Güvenliği ihlal edilen cihazların bu hizmet tarafından kurbanların bilgisi olmadan kullanılması büyük olasılıktır. Kötü amaçlı yazılım, hesap kayıtları ve iki faktörlü kimlik doğrulama için gereken OTP'leri yakalamak amacıyla Android cihazlarda kendisine verilen SMS erişim izinlerinden yararlanıyor.
Mağdurlar için bu, mobil hesaplarında izinsiz ödeme yapılmasına ve cihazları ve telefon numaralarına kadar takip edilen yasa dışı faaliyetlere dahil olma potansiyeline yol açabilir. Telefon numarasının kötüye kullanılmasına karşı korunmak için APK dosyalarını Google Play dışındaki kaynaklardan indirmekten kaçının, ilgisiz işlevlere sahip uygulamalara gereksiz izinler vermekten kaçının ve cihazınızda Play Korumanın etkinleştirildiğinden emin olun.
SMS Hırsızı Operasyonunun Saldırı Akışı
Mağdur, meşru uygulama mağazalarını taklit eden yanıltıcı reklamlar veya hedefle doğrudan etkileşime giren otomatik Telegram botları aracılığıyla sahte bir uygulama yüklemeye ikna ediliyor (ayrıntılar aşağıda).
İzin İstekleri – Erişim Kazanmak
Sahte uygulama yüklendikten sonra, Android'de hassas kişisel verilere erişime izin veren yüksek riskli bir özellik olan SMS okuma izinlerini talep ediyor. Meşru uygulamaların belirli işlevler için SMS izinlerine ihtiyacı olsa da bu uygulamanın isteği, kurbanın özel metin mesajlarını toplamak için tasarlanmıştır.
Komuta ve Kontrol Sunucusunun Alınması – Master ile İletişime Geçme
Tehdit daha sonra operasyonlarını yönlendiren ve toplanan verileri toplayan Komuta ve Kontrol (C&C) sunucusuna bağlanır. Başlangıçta kötü amaçlı yazılım, C&C sunucu adresini almak için Firebase'i kullandı ancak daha sonra Github depolarını kullanacak veya adresi doğrudan uygulamanın içine yerleştirecek şekilde gelişti.
C&C İletişimi – Raporlama ve Veri Yükleme
C&C sunucu adresinin güvenliğini sağladıktan sonra virüslü cihaz onunla bağlantı kurar. Bu iki amaca hizmet eder: 1) kötü amaçlı yazılım, sunucuya aktif durumunu bildirir ve 2) değerli OTP kodları da dahil olmak üzere çalıntı SMS mesajları göndermek için bir kanal oluşturur.
OTP Hasadı – Gizli Toplayıcı
Son aşamada, kötü amaçlı yazılım, gelen SMS mesajlarını sessizce izliyor ve fark edilmeden çevrimiçi hesap doğrulama için kullanılan OTP'leri ele geçirmeye odaklanıyor.
