Araştırmacılar, kripto para birimi fonlarını sifonlamak için meşru dijital cüzdan hizmetlerini taklit eden Android ve iOS’taki taklitçi uygulamalar aracılığıyla öncelikle Çinli kullanıcıları hedef alan karmaşık bir kötü amaçlı planın kapağını kaldırdılar.
“Bu kötü amaçlı uygulamalar, Coinbase, imToken, MetaMask, Trust Wallet, Bitpie, TokenPocket veya OneKey’in kimliğine bürünerek kurbanların gizli tohum ifadelerini çalabildi.” dedim ESET’te kıdemli kötü amaçlı yazılım araştırmacısı olan Lukáš Štefanko, The Hacker News ile paylaşılan bir raporda.
Cüzdan hizmetlerinin, meşru Çin web sitelerinde yayınlanan yanıltıcı makalelerin yanı sıra Telegram ve Facebook grupları aracılığıyla aracıların işe alınması yoluyla tanıtılan 40’tan fazla sahte cüzdan web sitesi ağı aracılığıyla dağıtıldığı söyleniyor. Şüphelenmeyen ziyaretçileri kötü amaçlı uygulamaları indirmeleri için kandırmak.
Mayıs 2021’den bu yana kampanyayı takip eden ESET, bunu tek bir suç grubunun çalışmasına bağladı. Truva atı haline getirilmiş kripto para cüzdanı uygulamaları, orijinal muadillerinin aynı işlevselliğini çoğaltacak ve aynı zamanda kripto varlıklarının çalınmasını sağlayan kötü amaçlı kod değişiklikleri içerecek şekilde hazırlanmıştır.
Štefanko, “Bu kötü amaçlı uygulamalar, bazıları güvenli olmayan bir HTTP bağlantısı kullanarak saldırganların sunucusuna gizli kurban tohum cümleleri gönderdiğinden, kurbanlar için başka bir tehdit oluşturuyor.” Dedi. “Bu, kurbanların fonlarının yalnızca bu planın operatörü tarafından değil, aynı ağda gizlice dinleyen farklı bir saldırgan tarafından da çalınabileceği anlamına geliyor.”
Slovak siber güvenlik şirketi, Telegram mesajlaşma uygulamasında bu cüzdan uygulamalarının kötü niyetli kopyalarını tanıtan düzinelerce grup bulduğunu ve bunların dolandırıcılık planı için yeni dağıtım ortakları bulma umuduyla en az 56 Facebook grubunda paylaşıldığını söyledi.
ESET, “Bu gruplardan elde edilen bilgilere dayanarak, bu kötü amaçlı yazılımı dağıtan bir kişiye, cüzdanın çalınan içeriği için yüzde 50 komisyon teklif ediliyor” dedi.
Benzersiz bir değişiklikle, uygulamalar yüklendikten sonra, güvenliği ihlal edilen mobil cihazların işletim sistemine bağlı olarak farklı şekilde yapılandırılır. Android’de uygulamalar, hedeflenen cüzdan uygulamalarından herhangi birine henüz sahip olmayan kripto para birimi kullanıcılarına yöneliktir, iOS’ta ise kurbanlar her iki sürümü de yükleyebilir.
Sahte cüzdan uygulamalarının doğrudan iOS App Store’da bulunmadığını da belirtmekte fayda var. Bunun yerine, yalnızca Apple tarafından doğrulanmayan ve App Store dışındaki kaynaklardan uygulamaların yüklenmesini mümkün kılan yapılandırma profillerini kullanan kötü amaçlı web sitelerinden birini ziyaret ederek indirilebilirler.
Soruşturma ayrıca, Google Play Store’da Jaxx Liberty Cüzdanı kılığına giren ve Ocak 2022’den itibaren tümü Android uygulama pazarından kaldırılan 13 hileli uygulamayı ortaya çıkardı. Bunlar toplu olarak 1.100’den fazla kez yüklendi.
Štefanko, “Amaçları basitçe, kullanıcının kurtarma tohum ifadesini ortaya çıkarmak ve onu saldırganların sunucusuna veya gizli bir Telegram sohbet grubuna göndermekti.” Dedi.
Operasyonun arkasındaki tehdit aktörleri, sosyal medya ve mesajlaşma uygulamaları aracılığıyla aktif olarak ortaklar toplarken ve onlara çalınan dijital para biriminin bir yüzdesini sunarken, ESET, saldırıların gelecekte dünyanın diğer bölgelerine de yayılabileceği konusunda uyarıyor.
Štefanko, “Ayrıca, bu tehdidin kaynak kodunun sızdırıldığı ve birkaç Çinli web sitesinde paylaşıldığı görülüyor, bu da çeşitli tehdit aktörlerini çekebilir ve bu tehdidi daha da yaygınlaştırabilir.”
