GoldFactory’nin Yeni Saldırı Dalgası
Cyber suçlular, GoldFactory olarak bilinen finansal motivasyonlu bir grup ile ilişkilendirilerek, Endonezya, Tayland ve Vietnam’daki mobil kullanıcıları hedef alan yeni bir saldırı dalgası düzenlemekte. Bu saldırılarda, devlet hizmetlerini taklit eden değiştirilen banka uygulamaları dağıtılmakta.
Yeni Takvim ve Hedefler
Group-IB’nin yayınladığı teknik rapora göre, bu faaliyet Ekim 2024’ten beri gözlemleniyor. GoldFactory, Haziran 2023’ten bu yana aktif olarak belirtiliyor. İlk kez, Singapur merkezli siber güvenlik şirketinin, GoldPickaxe, GoldDigger ve GoldDiggerPlus gibi özel kötü amaçlı yazılım ailelerini kullandığını ortaya koymasıyla dikkatleri üzerine çekti.
Yalnızca Endonezya’da 11,000 Enfeksiyon
Group-IB, 300’den fazla değiştirilen banka uygulaması örneği tanımladığını ve bunların Endonezya’da yaklaşık 2,200 enfeksiyona yol açtığını bildirdi. Ayrıntılı incelemeler, toplamda 11,000 enfeksiyona neden olan 3,000’den fazla kötü amaçlı yazılım kalıntısının bulunduğunu ortaya koydu. Değiştirilen uygulamaların yaklaşık %63’ü Endonezya pazarına yönelik.
Saldırı Yöntemleri ve Stratejileri
Gözlemlediğimiz saldırı zincirleri, hükümet kuruluşlarını ve yerel markaları taklit ederek potansiyel hedeflerle telefon aracılığıyla iletişime geçmeyi içeriyor. Örneğin, dolandırıcılar Vietnam’ın enerji şirketi EVN olarak kendilerini tanıtarak, geç ödenmiş elektrik faturalarının ödenmesi için kurbanları tehdit ediyor.
Kötü Amaçlı Yazılımın Dağıtımı
Kurbonlar, kendilerine gönderilen bağlantılara tıklamaları için kandırılarak sahte iniş sayfalarına yönlendiriliyor. Bu sahte sayfalar, Google Play Store uygulama listeleri gibi görünerek, uzaktan erişim trojanları vb. kötü amaçlı yazılımların dağıtımını sağlıyor.
Yapılan analizler, kötü amaçlı yazılımın orijinal mobil banka uygulamalarına bağlı olarak çalıştığını ortaya koydu. Araştırmacılar, kötü amaçlı bir modülün sadece belirli bir bölümüne kötü amaçlı kod ekleyerek, orijinal uygulamanın normale yakın bir işlevsellik kazanmasını sağladığını belirtiyor.
Gelecek Tehditler ve Gelişmeler
GoldFactory, şu anda yeni bir Android kötü amaçlı yazılım versiyonu olan Gigaflower’ı test ediyor. Bu yeni malware, kullanıcı arayüzü içeriğini okuyabilme ve kimlik kartlarından veri çıkarabilme gibi yeteneklere sahip olacak.
İlginç bir şekilde, GoldFactory, daha önce geliştirdiği iOS trojanını terk etmiş ve kurbanlarına bir aile üyesinden Android cihaz ödünç almalarını önermeye başlamıştır. Bu değişikliğin ardında neyin yattığı hala net olmadığı gibi, iOS üzerindeki daha katı güvenlik önlemlerine bağlı olarak gerçekleştiği düşünülmektedir.
GoldFactory’nin eylemlerinin, KYC süreçlerini istismar etmekten doğrudan sahte banka uygulamaları oluşturma aşamasına geçmesi, siber suçluların daha organize ve karmaşık hale geldiğini gösteriyor. Group-IB’nin raporları, geleneksel tespit yöntemlerini aşan, düşük maliyetli ve etkili saldırı yöntemlerinin hızla yayılmakta olduğunu ortaya koymaktadır.
