Cyber güvenlik araştırmacıları, Telegram’ın Mini App özelliğini kullanarak kripto dolandırıcılığı yapan büyük ölçekli bir dolandırıcılık operasyonunu ortaya çıkardı. Bu operasyon, tanınmış markaların taklit edilmesi ve Android zararlısının dağıtılması gibi çeşitli kötü niyetli faaliyetleri içermektedir.
Saldırı Nasıl Çalışıyor?
CTM360 tarafından yayımlanan bir rapora göre, ” FEMITBOT ” adı verilen platform, API yanıtları içerisinde bulunan bir dizi karakterden oluşturulmuştur ve Telegram botları ile yerleşik Mini Uygulamalar kullanarak kullanıcıların deneyimini uygulama benzeri hale getirir. Bu, kullanıcıların Telegram içerisinden uygulama dışına çıkmadan hizmetlere erişim sağlamasına olanak tanır.
FEMITBOT platformu, sahte kripto para platformları ve diğer dolandırıcılık hizmetleri için kullanılmaktadır. Aşağıdaki markalar bu dolandırıcılık kampanyasında taklit edilmiştir:
- Apple
- Coca-Cola
- Disney
- eBay
- IBM
- Moon Pay
- NVIDIA
- YouKu
Araştırmacılar, bu dolandırıcılık faaliyeti sırasında çok sayıda sahte domainin aynı API yanıtını kullandığını ve bu sayede dolandırıcılığı destekleyen ortak bir altyapı oluşturduğunu belirtmektedir. API yanıtı genellikle “ FEMITBOT platformuna katılmaya hoş geldiniz ” ifadesini içermektedir. Bu durum, tüm bu dolandırıcılık operasyonlarının aynı altyapıyı kullandığını göstermektedir.
Kaynak: CTM360
Dolandırıcılık operasyonları, Telegram botları aracılığıyla doğrudan sosyal medya platformu içinde sahte sitelerin gösterilmesini sağlamaktadır. Kullanıcı bir botla etkileşime girdiğinde ve “Başlat” düğmesine tıkladığında, bot Mini Uygulayı başlatarak bir sahte sayfa açar.
Kurbanlar, sahte bakiye veya kazançlarla dolu panolar görebilir ve çoğu zaman aciliyet hissi yaratan geri sayım zamanlayıcıları ve sınırlı süreli teklifler ile karşılaşırlar. Kullanıcılar, fon çekme işlemini gerçekleştirmeye çalıştıklarında, çoğunlukla bir yatırımı tamamlamaları ya da referans görevlerini yerine getirmeleri istenir ki bu, yatırım dolandırıcılığı ve ön ödemeli dolandırıcılıklarda yaygın bir taktiktir.
Etkilenen Sistemler
Bu kampanyalar, kötü niyetli aktörlerin marka, dil ve temaları kolayca değiştirmesine olanak tanıyan bir altyapıyı kullanarak gerçekleştirilmiştir. Ayrıca, kullanıcı hareketlerini izlemek ve dönüşüm oranlarını ölçmek için izleme betikleri, örneğin Meta ve TikTok izleme pikselleri kullanıldığı belirtilmektedir.
Bazı Mini Uygulamalar, BBC, NVIDIA, CineTV, Coreweave ve Claro gibi markaları taklit eden Android APK’larını dağıtmaya çalışmıştır. Kullanıcılara, Android APK dosyalarını indirmeleri, uygulama içindeki tarayıcıda bağlantılara tıklamaları veya meşru yazılımlara benzeyen ilerleyici web uygulamalarını yüklemeleri istenmiştir.
Kaynak: CTM360
Çözüm ve Korunma
Kullanıcıların, kripto yatırımlarını teşvik eden veya Mini Uygulamalar başlatmaları için kendilerinden talepte bulunan Telegram botları ile etkileşimde dikkatli olmaları gerekmektedir. Öne çıkan bazı önlemler şunlardır:
- Daha önce bilinmeyen Telegram botları ile etkileşimde bulunmaktan kaçının.
- APK dosyalarını indirmekten ve yüklemekten kaçının; bu dosyalar genellikle kötü amaçlı yazılımlar içerebilir.
- Şüpheli bağlantılara tıklamaktan ve kişisel bilgilerinizi paylaşmaktan kaçının.
Android kullanıcıları, genel olarak APK dosyalarını yan yükleyerek yüklemekten kaçınmalıdır; bu, genellikle Google Play Store dışında zararlı yazılımlar dağıtmak için kullanılır.
Sonuç
Bu tür dolandırıcılık faaliyetlerinden korunmak için, kullanıcıların Telegram uygulamasını güncel tutmaları ve bilinmeyen botlarla etkileşime geçmemeleri kritik öneme sahiptir. Güvenlik önlemlerini artırmak için, kullanıcılar gereksiz portları kapatmalı ve düzenli olarak sistemlerini güncellemelidir.
