Reklam yazılımları ve diğer istenmeyen ve potansiyel olarak riskli uygulamalar, şu anda mobil cihaz kullanıcılarının karşı karşıya olduğu en büyük tehdidi oluşturmaya devam ediyor. Ancak bu, saldırganların sürekli olarak diğer gelişmiş mobil kötü amaçlı yazılımları da dağıtmaya çalışmadığı anlamına gelmez.
En son örnek, Android cihazlara casus yazılım yüklemek için bubi tuzağına yakalanmış bir VPN uygulaması olan “SandStrike”. Kötü amaçlı yazılım, virüslü cihazlardan arama günlüklerini, kişi listelerini ve diğer hassas verileri bulmak ve çalmak için tasarlanmıştır; Kaspersky, bu haftaki bir raporda, hedeflenen kullanıcıları da takip edip izleyebileceğini söyledi.
Güvenlik sağlayıcısı, araştırmacılarının SandStrike operatörlerinin, İran’ın zulme uğrayan, Farsça konuşan bir azınlık grubu olan Bahai topluluğunun üyelerine ait cihazlara sofistike casus yazılım yerleştirmeye çalıştıklarını gözlemlediklerini söyledi. Ancak satıcı, tehdit aktörünün kaç cihazı hedeflediğini veya bulaştırmayı başardığını açıklamadı. Yorum için Kaspersky’ye hemen ulaşılamadı.
Ayrıntılı Sosyal Medya Cazibeleri
Kullanıcıları silahlı uygulamayı indirmeye ikna etmek için tehdit aktörleri, hepsinin 1.000’den fazla takipçisi olduğu iddia edilen birden fazla Facebook ve Instagram hesabı kurdu. Sosyal medya hesapları, Kaspersky’nin çekici olarak tanımladığı, hedeflenen inanç grubunun üyelerinin dikkatini çekmek için tasarlanmış, dini temalı grafiklerle dolu. Hesaplar genellikle yasaklı dini materyaller içeren sitelere erişmek isteyen kullanıcılar için ücretsiz bir VPN uygulaması sunan bir Telegram kanalına bağlantı içerir.
Kaspersky’ye göre, tehdit aktörleri, uygulamayı tamamen işlevsel hale getirmek için kendi VPN altyapılarını bile kurdular. Ancak bir kullanıcı SandStrike’ı indirip kullandığında, virüslü cihazın sahibiyle ilgili hassas verileri sessizce toplar ve dışarı atar.
Kampanya, NSO Group’un kötü şöhretli Pegasus casus yazılımı gibi iyi bilinen tehditlerin yanı sıra Hermit gibi ortaya çıkan sorunları içeren bir arena olan gelişmiş altyapı ve mobil casus yazılımları içeren büyüyen casusluk çabalarının en sonuncusu.
Mobil Kötü Amaçlı Yazılım Yükselişte
Bubi tuzağına yakalanmış SandStrike VPN uygulaması, mobil cihazlarda dağıtılan ve giderek artan kötü amaçlı yazılım araçları yelpazesine bir örnektir. Proofpoint’in bu yılın başlarında yayınladığı araştırma, bir Mobil kötü amaçlı yazılım teslim girişimlerinde %500 artış Avrupa’da bu yılın ilk çeyreğinde Artış, 2021’in sonuna doğru saldırı hacimlerinde keskin bir düşüşün ardından geldi.
E-posta güvenliği sağlayıcısı, yeni kötü amaçlı yazılım araçlarının birçoğunun yalnızca kimlik bilgilerini çalmaktan çok daha fazlasını yapabildiğini keşfetti: “Son tespitler, telefon ve telefon dışı ses ve video kaydetme, konumu izleme ve içerik ve verileri yok etme veya silme yeteneğine sahip kötü amaçlı yazılımları içeriyordu. “
Google ve Apple’ın resmi mobil uygulama mağazaları, popüler bir mobil kötü amaçlı yazılım dağıtım vektörü olmaya devam ediyor. Ancak tehdit aktörleri, kullanıcıların mobil cihazlarına kötü amaçlı yazılım yüklemelerini sağlamak için giderek daha fazla SMS tabanlı kimlik avı kampanyaları ve SandStrike kampanyasında görülen türden sosyal mühendislik dolandırıcılıklarını kullanıyor.
Proofpoint ayrıca, saldırganların Android cihazlarını iOS cihazlardan çok daha fazla hedeflediğini buldu. Proofpoint, büyük bir nedenin, iOS’un kullanıcıların resmi olmayan bir üçüncü taraf uygulama mağazası aracılığıyla bir uygulama yüklemesine veya Android’in yaptığı gibi doğrudan cihaza indirmesine izin vermemesi olduğunu söyledi.
Dolaşımdaki Farklı Mobil Kötü Amaçlı Yazılım Türleri
Proofpoint, en önemli mobil kötü amaçlı yazılım tehditlerini FluBot, TeaBot, TangleBot, MoqHao ve BRATA olarak belirledi. Bu kötü amaçlı yazılım araçlarına entegre edilen farklı yetenekler arasında veri ve kimlik bilgisi hırsızlığı, çevrimiçi hesaplardan para çalma ve genel casusluk ve gözetleme yer alır. Bu tehditlerden biri olan FluBot, Haziran ayında koordineli bir kanun yaptırımı eyleminde altyapısının bozulmasından bu yana büyük ölçüde sessiz kaldı.
Proofpoint, mobil kötü amaçlı yazılımın belirli bir bölge veya dille sınırlı olmadığını buldu. Şirket, “Bunun yerine tehdit aktörleri kampanyalarını çeşitli dillere, bölgelere ve cihazlara uyarlıyor” diye uyardı.
Bu arada, Kaspersky engellediğini söyledi yaklaşık 5,5 milyon kötü amaçlı yazılım, reklam yazılımı ve riskli yazılım saldırısı 2022’nin ikinci çeyreğinde mobil cihazları hedef aldı. Bu saldırıların %25’inden fazlası reklam yazılımlarını içeriyordu ve bu da onu şu anda en yaygın mobil tehdit haline getiriyor. Ancak diğer önemli tehditler arasında mobil bankacılık Truva atları, mobil fidye yazılımı araçları, casus yazılım bağlantısı SandStrike ve kötü amaçlı yazılım indiricileri yer aldı. Kaspersky, bazı kötü amaçlı mobil uygulamaların yaratıcılarının aynı anda birden fazla ülkeden kullanıcıları giderek daha fazla hedeflediğini tespit etti.
Mobil kötü amaçlı yazılım eğilimi, kurumsal kuruluşlar, özellikle de iş yerinde yönetilmeyen ve kişisel olarak sahip olunan cihazlara izin veren kuruluşlar için büyüyen bir tehdit oluşturuyor. Geçen yıl, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) bir rapor yayınladı. eylemlerin kontrol listesi kuruluşların bu tehditleri ele almak için alabilecekleri Önerileri, kuruluşların güvenlik odaklı mobil cihaz yönetimi uygulaması ihtiyacını; uygulamalara ve verilere yalnızca güvenilir cihazların erişimine izin verilmesini sağlamak; güçlü kimlik doğrulama kullanmak için; üçüncü taraf uygulama mağazalarına erişimi devre dışı bırakmak için; ve kullanıcıların yalnızca seçilmiş uygulama mağazalarını kullanmasını sağlamak için.