Antivirüs üreticisi ve internet güvenlik firması ESET, geçen yılın Mayıs ayından bu yana Android ve iOS’ta mobil kullanıcıları hedef alan karmaşık bir kötü amaçlı kripto para birimi şemasını ortaya çıkardı.
Planın kendisinin bir suç grubunun işi olduğuna inanılıyor ve Bitcoin ve diğer kripto para birimlerini şüpheli olmayan kullanıcılardan çalmak için sahte web siteleri aracılığıyla dağıtılan kötü amaçlı uygulamaları kullanıyor. Bu kötü amaçlı uygulamalar Metamask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken ve OneKey gibi popüler kripto para cüzdanlarını taklit ediyor.
Planın arkasındakiler, bu taklitçi cüzdan uygulamalarını dağıtan sahte web sitelerini tanıtmak için yanıltıcı makaleler içeren meşru web sitelerine yerleştirilen reklamları kullanır. Ancak siber suçlular, Telegram ve Facebook’taki gruplar aracılığıyla aracıları da işe aldı. Planın ana amacı kullanıcıların fonlarını çalmak olsa da, ESET Research esas olarak Çinli kullanıcıların hedef alındığını gözlemledi, ancak kripto para birimleri daha popüler hale geldikçe, firmanın güvenlik araştırmacıları, kullanılan tekniklerin diğer pazarlara yayılmasını bekliyor.
Planı keşfeden ESET araştırmacısı Lukáš Štefanko, bir basın açıklamasında bunun nasıl çalıştığı hakkında daha fazla bilgi verdi ve şunları söyledi:
“Bu kötü amaçlı uygulamalar, bazıları güvenli olmayan bir HTTP bağlantısı kullanarak saldırganların sunucusuna gizli kurban tohum cümleleri gönderdiğinden, kurbanlar için başka bir tehdidi de temsil ediyor. Bu, kurbanların fonlarının yalnızca bu planın operatörü tarafından değil, aynı ağda gizlice dinleyen farklı bir saldırgan tarafından da çalınabileceği anlamına gelir. Ayrıca Jaxx Liberty cüzdanını taklit eden 13 kötü amaçlı uygulama keşfettik. Bu uygulamalar Google Play mağazasında mevcuttu.”
Ayrıntılı bir şema
Geçen yılın Mayıs ayından itibaren, ESET’in güvenlik araştırmacıları düzinelerce truva atı ile şifrelenmiş kripto para cüzdanı uygulaması keşfetti.
Bu planı diğer kripto dolandırıcılıklarından ayıran şey, kötü amaçlı yazılımın yazarının, tespit edilmesi zor olan yerlere kendi kötü niyetli kodlarını eklemek için meşru kripto uygulamalarının derinlemesine analizini yapmış olmasıdır. Aynı zamanda oluşturdukları sahte uygulamaların orijinalleriyle aynı işlevselliğe sahip olmasını da sağladılar.
ESET, Mayıs 2021’den bu yana Telegram’da kripto para cüzdanlarının kötü niyetli kopyalarını destekleyen düzinelerce grup buldu. Geçen yılın Ekim ayından itibaren, bu aynı Telegram grupları, daha da fazla dağıtım ortağı aramak için en az 56 Facebook grubunda paylaşıldı ve tanıtıldı. Ardından Kasım ayında ESET, bu sahte kripto para cüzdan uygulamalarının iki meşru Çin web sitesinde dağıtıldığını tespit etti.
Bu kötü amaçlı uygulamalar, Android ve iOS’ta da farklı davranır. Android’de, cihazlarında halihazırda yüklü bir cüzdan uygulaması olmayan yeni kripto para birimi kullanıcılarını hedeflerken, iOS’ta kurbanlar hem yasal hem de kötü amaçlı bir cüzdan uygulaması yükleyebilir.
Bu planın kaynak kodu birkaç Çinli web sitesinde sızdırıldığından ve paylaşıldığından, diğer siber suçluları daha da yaymak için çekebilir. Bu nedenle kripto para satın almak, satmak ve depolamakla ilgilenen kullanıcılar, yalnızca Apple App Store veya Google Play Store’dan kripto cüzdan uygulamaları indirmelidir.