Kripto cüzdanları olarak gösterilen, dünyanın her yerindeki kullanıcıların fonlarını çalmayı amaçlayan düzinelerce kötü amaçlı uygulama çevrimiçi olarak ortaya çıktı. Araştırmaya dayalı bir rapora göre, uygulamalar karmaşık bir planın parçası olarak hem Android hem de iOS kullanıcıları için mevcuttu. Söz konusu kötü amaçlı uygulamaların Coinbase, imToken, MetaMask, Trust Wallet, Bitpie, TokenPocket ve OneKey gibi kripto cüzdanlarını taklit ettiği tespit edildi. Truva atlı kripto cüzdanları ilk olarak Mayıs 2021’de keşfedildi ve başlangıçta Çinli kullanıcıları hedef aldı. Bununla birlikte, kripto para birimleri popüler hale geldikçe, saldırganlar tarafından kullanılan kötü niyetli teknikler dünyanın her yerindeki kullanıcılara genişletilebilir.
İnternet güvenlik firması ESET, rapor edildi Hem Android hem de iOS kullanıcıları için mevcut gibi görünen kötü niyetli kripto cüzdanlarının keşfi.
ESET tarafından yürütülen araştırma, bazı anonim saldırganlar tarafından yürütülen karmaşık bir şema buldu ve popüler kripto cüzdanlarını taklit eden 40’tan fazla web sitesi tespit etti. Bu web siteleri mobil kullanıcıları hedef alır ve farklı tekniklerle ziyaretçileri kötü niyetli cüzdan uygulamaları indirmelerine izin vermeye zorlar.
İlk kanıtlar, hedefin Çinli kullanıcılar olabileceğini öne sürse de, daha sonra planın, telefonlarında İngilizce dili kullanan herkesi hedefleyebileceği bulundu.
“Dağıtılan sahte web sitelerinin ve uygulamaların çoğu İngilizce olduğu için yalnızca Çinli kullanıcıları hedef almıyorlar. ESET Kötü Amaçlı Yazılım Analisti Lukas Stefanko, Gadgets 360’a verdiği demeçte, bu nedenle dünyadaki herkesi etkileyebileceğine inanıyorum (eğer İngilizce konuşuyorlarsa),” dedi.
Truva atlı cüzdanların dağıtım vektörünün ilk izi Mayıs 2021’de tespit edildi. Rapora göre saldırganlar, insanları kötü amaçlı uygulamaları dağıtmak için kaydetmek için farklı Telegram grupları kullandı.
Araştırmacılar, elde edilen bilgilere dayanarak, saldırganların cüzdanın çalınan içeriği için insanlara yüzde 50 komisyon verdiğini tespit etti. Bu, kötü amaçlı yazılımı dağıtmak için gemiye daha fazla insan getirmeyi amaçlıyordu.
Araştırmacılar ayrıca, kötü amaçlı yazılım için daha fazla dağıtım ortağı aramak amacıyla Telegram gruplarının bazı Facebook gruplarında paylaşıldığını ve tanıtıldığını fark ettiler. Sonunda, bireyleri hedef alan aracılar alarak kötü niyetli saldırıların kapsamını genişletebilir.
Araştırmacılara göre, kötü amaçlı yazılım uygulamaları imToken, Bitpie, MetaMask, TokenPocket ve OneKey gibi meşru kripto cüzdanları gibi çalışıyormuş gibi davranıyordu.
Araştırmacılar, uygulamaların yüklendiği işletim sistemine bağlı olarak farklı davrandığını söyledi.
Android’de uygulamalar, cihazlarında yasal bir cüzdan uygulaması yüklü olmayan yeni kripto kullanıcılarını hedef aldı. M-cüzdan uygulamaları, orijinal muadilleri gibi görünmek için aynı paket adını kullanıyordu. Ancak, farklı bir sertifika kullanılarak imzalandılar. Bu, bu uygulamaların cihazdaki resmi cüzdanın üzerine yazmamasını kısıtlar.
Bununla birlikte, iOS’ta kötü amaçlı kripto cüzdan uygulamaları, meşru sürümleriyle aynı anda yüklenebilir. Resmi sürüm App Store’dan olsa da, kötü amaçlı uygulamalar yalnızca üçüncü taraf bir kaynak aracılığıyla yüklenir.
Kurulduktan sonra araştırmacılar, uygulamaların, o cüzdanla ilişkili kriptoya erişim sağlamak için bir kripto cüzdanı tarafından oluşturulan tohum ifadelerini çalabileceğini buldu. Bu ifadeler, saldırganların sunucusuyla veya gizli bir Telegram sohbet grubuyla paylaşılırken görüldü.
ESET araştırmacıları, Google Play Store’da bulunan ve istekleri üzerine Ocak ayında kaldırılan 13 sahte cüzdan uygulaması keşfetti. Uygulamalar meşru Jaxx Liberty Cüzdan uygulamasının kimliğine büründü ve 1.100’den fazla kez yüklendi.
Araştırmacılar, kullanıcılara yalnızca Android için Google Play ve iPhone tüketicileri için Apple’ın App Store’u gibi resmi kaynaklardan uygulama indirmelerini ve yüklemelerini tavsiye ediyor. Kullanıcıların, kötü niyetli olduklarını tespit ettikleri uygulamaları hızla kaldırmaları da önerilir. iOS söz konusu olduğunda, kullanıcılar kötü amaçlı uygulamaların yapılandırma profilini de şuraya giderek kaldırmalıdır: Ayarlar > Genel > VPN ve Cihaz Yönetimi uygulamalar yüklendikten sonra.
Kripto dünyasına girmeyi planlayan ve yeni bir cüzdan kurmak isteyen kullanıcıların, zor kazanılan paralarını aktarmadan önce yalnızca güvenilir bir cihaz ve uygulama kullanmaları önerilir.
Stefanko raporda, “Saldırganların kurbanın tüm işlemlerinin geçmişini bildiğini düşünürsek, saldırganlar parayı hemen çalmayabilir ve daha fazla para yatırıldıktan sonra daha iyi bir fırsat beklemeyi tercih edebilir.”