Siber güvenlik firmasına göre WhatsApp e-Challan dolandırıcılıkları, yeni bir teknik kötü amaçlı yazılım türü olan Maorrisbot’u kullanarak Hindistan’daki kullanıcıları hedef alıyor. Bu, büyük ve organize bir çabayla desteklendiği bildirilen nispeten yeni bir dolandırıcılık türü. Şimdiye kadar, kötü amaçlı yazılımın yalnızca Android cihazlarını etkilediği ve iOS veya diğer Apple cihazlarında herhangi bir etki görülmediği söyleniyor. Dolandırıcılık, tipik bir kimlik avı dolandırıcılığı gibi başlıyor, ancak kötü amaçlı yazılım kurbanın cihazına dağıtıldığında, bir truva atı gibi davranıyor.
WhatsApp e-Challan Dolandırıcılıkları Hintli Kullanıcıları Hedef Almak İçin Maorrisbot Kullanıyor
Yeni bir CloudSEK rapor Maorrisbot adlı yeni kötü amaçlı yazılımın Vietnam merkezli bilgisayar korsanları tarafından nasıl kullanıldığını ayrıntılarıyla anlatıyor. Şirket, şu anda WhatsApp üzerinden yayılan sahte trafik e-Challan mesajları aracılığıyla Hindistan’daki kullanıcıları hedeflemek için son derece teknik bir Android kötü amaçlı yazılım kampanyasının kullanıldığını belirtiyor.
Başlangıçta dolandırıcılar Parivahan Sewa veya Karnataka Polisi’ni taklit eder ve insanlara challan’larını (trafik ihlali cezası) ödemelerini isteyen mesajlar gönderir. Bu mesajlar sahte bir e-Challan bildiriminin ayrıntılarını ve bir URL veya ekli bir APK dosyasını içerir.
Dolandırıcılar kurbanı para cezasını ödemek için bağlantıya tıklamaya kandırıyor ve bu yapıldığında Maorrisbot cihaza indiriliyor. Ancak raporda, bunun meşru bir uygulama gibi gizlendiği ve dikkatsiz kullanıcıları yanıltabileceği belirtiliyor.
Yüklendikten sonra kötü amaçlı yazılım, kişilere erişim, telefon görüşmeleri, SMS ve hatta varsayılan mesajlaşma uygulaması olma gibi birden fazla izin talep etmeye başlar. Kullanıcı bu izinlere izin verirse, kötü amaçlı yazılım OTP’leri ve diğer hassas mesajları engellemeye başlar. Ayrıca verileri kurbanın e-ticaret hesaplarına giriş yapmak, hediye kartları satın almak ve bunları iz bırakmadan kullanmak için kullanabilir.
Siber güvenlik firması ayrıca dolandırıcıların proxy IP kullandığını ve tespit edilmekten kaçınmak için düşük bir işlem profili sürdürdüğünü buldu. Araştırmacılar, konuşmalara ve IP konumuna dayanarak saldırganların Vietnamlı olduğuna inanıyor – sözde hacker’ın IP adresi Vietnam’daki Bắc Giang Eyaletine kadar izlendi.
CloudSEK, kötü amaçlı yazılımı yükledikten sonra 4.451 cihazın tehlikeye atıldığının bilindiğini iddia ediyor. Bilgisayar korsanlarının, kurbanlardan 16 lakh rupiden fazla para çalmak için 271 benzersiz hediye kartı kullandığı bildirildi. En çok etkilenen bölge olarak Gujarat ve Karnataka belirlendi.
Güvenlik firması, Android kullanıcılarına iyi bilinen antivirüs ve kötü amaçlı yazılım önleme yazılımları kullanmalarını, uygulama izinlerini sınırlamalarını ve bunları düzenli olarak incelemelerini ve yalnızca güvenilir kaynaklardan uygulama yüklemelerini öneriyor. Ayrıca, firma şüpheli SMS etkinliğini izlemeyi, cihazı düzenli olarak güncellemeyi ve bankacılık ve hassas hizmetler için uyarıları etkinleştirmeyi de vurguluyor.