Olarak bilinen bir Android sesli kimlik avı (aka vishing) kötü amaçlı yazılım kampanyası Sahte Aramalar 20’den fazla popüler finansal uygulama kisvesi altında Güney Koreli kullanıcıları hedeflemek için bir kez daha başını kaldırdı.
Siber güvenlik firması Check Point, “FakeCalls kötü amaçlı yazılımı, yalnızca birincil amacını gerçekleştirmekle kalmayıp aynı zamanda kurbanın cihazından özel verileri de çıkarabilen bir İsviçre çakısı işlevine sahiptir.” söz konusu.
Sahte Aramalar (önceki değeri) önceden belgelenmiş Kaspersky tarafından Nisan 2022’de, kötü amaçlı yazılımın bir banka müşteri destek temsilcisiyle yapılan telefon görüşmelerini taklit etme yeteneklerini açıklayan.
Gözlemlenen saldırılarda, hileli bankacılık uygulamasını yükleyen kullanıcılar, sahte bir düşük faizli kredi sunarak finans kuruluşunu aramaya ikna ediliyor.
Telefon görüşmesinin gerçekleştiği noktada, gerçek bankadan gelen talimatları içeren önceden kaydedilmiş bir ses çalınır. Aynı zamanda kötü amaçlı yazılım, diğer uçta gerçek bir banka çalışanıyla bir konuşma yapılıyormuş izlenimi vermek için telefon numarasını bankanın gerçek numarasıyla birlikte gizler.
Tehdit aktörlerinin iddia ettiği mağdurun kredi kartı bilgilerini almak için yürütülen kampanyanın nihai hedefi, var olmayan krediye hak kazanmak için gerekli.
Kötü amaçlı uygulama ayrıca, güvenliği ihlal edilmiş cihazdan canlı ses ve video akışları dahil olmak üzere hassas verileri toplamak ve daha sonra uzak bir sunucuya sızdırmak için müdahaleci izinler ister.
En son FakeCalls örnekleri, radarın altında kalmak için çeşitli teknikler uygular. Yöntemlerden biri, dosya adının ve yolunun uzunluğunun 300 karakter sınırını aşmasına neden olarak APK’nın varlık klasörüne iç içe geçmiş dizinlerin içindeki çok sayıda dosyayı eklemeyi içerir.
Check Point, “Kötü amaçlı yazılım geliştiricileri, birkaç benzersiz ve etkili anti-analiz tekniği uygulamanın yanı sıra, yaratımlarının teknik yönlerine özel bir özen gösterdiler” dedi. “Ayrıca, operasyonların arkasındaki komuta ve kontrol sunucularının gizli çözümlenmesi için mekanizmalar tasarladılar.”
Saldırı yalnızca Güney Kore’ye odaklanırken, siber güvenlik şirketi aynı taktiklerin dünyadaki diğer bölgeleri hedef almak için yeniden tasarlanabileceği konusunda uyardı.
Bulgular aynı zamanda Cyble’ın Nexus ve GoatRAT adlı iki Android bankacılık truva atına ışık tutmasıyla geldi. değerli verileri topla ve finansal dolandırıcılık yapmak.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
Tersine, Keçi Sıçan Brezilya bankalarını hedeflemek üzere tasarlanmıştır ve etkinliği gizlemek için sahte bir yer paylaşımlı pencere görüntülerken PIX ödeme platformu üzerinden sahte para transferi yapmak için BrasDex ve PixPirate gibi şirketlere katılır.
Bu gelişme, tehdit aktörlerinin virüs bulaşmış cihazlarda tüm yetkisiz para transferleri sürecini otomatikleştirmek için giderek daha karmaşık bankacılık kötü amaçlı yazılımlarını serbest bıraktığı büyüyen bir eğilimin parçası.
Siber güvenlik şirketi Kaspersky söz konusu 2022’de 196.476 yeni mobil bankacılık truva atı ve 10.543 yeni mobil fidye yazılımı truva atı tespit etti; Çin, Suriye, İran, Yemen ve Irak, reklam yazılımları da dahil olmak üzere mobil kötü amaçlı yazılımların en çok saldırdığı ülkeler oldu.
İspanya, Suudi Arabistan, Avustralya, Türkiye, Çin, İsviçre, Japonya, Kolombiya, İtalya ve Hindistan, mobil finansal tehditlerin en çok etkilediği ülkeler listesinin başında geliyor.
Kaspersky araştırmacısı Tatyana Shishkova, “Genel olarak kötü amaçlı yazılım yükleyicilerindeki düşüşe rağmen, mobil bankacılık Truva atlarının devam eden büyümesi, siber suçluların mali kazanca odaklandığının açık bir göstergesidir.” söz konusu.
