Kripto paraları çalmak için her şey iyidir. Siber güvenlik şirketi ESET’in ekiplerine göreMetaMask, Coinbase veya Trust Wallet gibi popüler kripto para platformlarına benzeyen 40’tan fazla web sitesi şu anda akıllı telefon kullanıcılarını kötü niyetli Truva atları içeren kripto para cüzdan uygulamalarının sahte sürümlerini indirmeleri için kandırıyor. ESET araştırmacıları, bu web sitelerinin özellikle mobil kullanıcıları hedeflemek ve onları kötü amaçlı yazılımları indirmeye teşvik etmek için tasarlandığını açıklayan, hedef alınanların hepsinden öte acemiler olduğunu unutmayın.
Bunu yapmak için siber suçlular, trafiği kötü amaçlı kripto para cüzdanlarının indirilmesine yönlendirmek için meşru kripto para birimi ve blok zinciri ile ilgili web sitelerinde görüntülenen aldatıcı reklamları kullanır. Çince iletişim kuran saldırganlar, kötü amaçlı yazılımı yaymalarına yardımcı olacak bağlı kuruluşları aramak için Telegram anlık mesajlaşma uygulamasını kullanıyor. Bu kötü amaçlı bağlantılardan bazıları, sahte cüzdanların nasıl çalıştığını ve hedeflenen kurbanlardan kripto para birimlerinin nasıl çalınacağını adım adım açıklayan video eğitimleriyle birlikte Facebook gruplarında da paylaşılıyor.
Program, bu bağlı kuruluşlar için çok karlı olabilir. İkincisi, başarıyla ele geçirilmiş kripto para cüzdanlarının çalınan içeriği için %50’ye varan komisyon teklif edilebilir. Bu soruşturmanın arkasındaki araştırmacılardan biri olan Lukas Stefanko, “Şimdiye kadar, bu sistemin esas olarak Çinli kullanıcıları hedef aldığını tespit ettik” diyor. Ancak, “kripto para birimlerinin popülaritesi arttıkça, bu tekniklerin diğer pazarlara yayılmasını bekliyoruz” diye belirtiyor.
Basit ve verimli
Siber suçlular tarafından uygulamaya konulan plan, en hafif tabirle ayrıntılıdır. Android’de sahte kripto para sitesi, kullanıcıyı uygulamasını Google Play’den indirmeye davet ediyor. İndirme aslında sahte sitenin sunucusundan gerçekleşir. İndirildikten sonra, uygulama kullanıcı tarafından manuel olarak kurulmalıdır. Bu uygulamaların çoğu üçüncü taraf sitelerden gelse de ESET araştırmacıları, kampanyayla ilgili 13 kötü amaçlı uygulamanın Ocak ayında Google Play mağazasından kaldırıldığını bildiriyor.
iOS’ta kötü amaçlı uygulamaları Apple App Store’dan indirmek mümkün değildir. Bu nedenle bilgisayar korsanları, rahatsız edici uygulamayı indirmek için hedeflerini üçüncü taraf web sitelerine davet eder. Başarıyla kurulduğundan emin olmak için, kullanıcıyı varsayılan iPhone korumalarını atlamaya ve doğrulanmamış uygulamayı yüklemeye teşvik etmek için uyarılar ve bildirimler kullanılır.
Android veya iOS’a yüklendikten sonra, kötü amaçlı yazılım normal şekilde davranır. Yine de uygulamaya eklenen kötü amaçlı bir kod, bilgisayar korsanlarının içeriği istedikleri gibi değiştirmelerine ve hedeflenen hesapların şifrelerini ele geçirmelerine olanak tanır. Tercüme: Kurbanın bilgisi olmadan, istedikleri zaman kurbanlarının kripto para cüzdanını boşaltabilirler.
Bu yeni kötü niyetli kampanyanın yakın zamanda durması beklenmiyor. ESET tarafında “Bu tehdidin genişlemesini bekleyebiliriz” diyoruz. Lukas Stefanko, “Kaynak kodunun sızdırıldığı ve çeşitli tehdit aktörlerini çekebilecek ve daha da yaygınlaştırabilecek birkaç Çinli web sitesinde paylaşıldığı görülüyor” diyor. Ve “çoğunlukla acemiler olmak üzere kripto para birimi kullanıcıları topluluğunu uyanık kalmaya ve yalnızca bu hizmetlerin resmi web sitelerine açıkça bağlı olan resmi uygulama mağazalarından indirilen mobil cüzdanları kullanmaya” davet etmek.
Kötü amaçlı bir uygulama indirdiklerine inanan kullanıcılara, derhal yepyeni bir cüzdan oluşturmaları ve tüm parayı oraya aktarmaları söylenir, böylece saldırganlar geri dönüp onları çalamaz.