107.000’den fazla örneği bulunan yeni bir kötü amaçlı yazılım Android cihazları hedefleme iki yıldan uzun süredir kötü amaçlı faaliyetlerde bulunmak için SMS mesajlarını çalarak tek seferlik şifreleri (OTP) ve diğer hassas kullanıcı verilerini ele geçiriyor.
Mobil güvenlik sağlayıcısı Zimperium zLabs’tan araştırmacılar, “SMS Hırsızı” olarak adlandırılan ve arkasında önemli bir siber suç altyapısı bulunan kötü amaçlı yazılımın, Telegram mesajları veya meşru uygulamaların reklamları aracılığıyla dağıtılan dinamik olarak değişen mobil uygulamalar yoluyla yayıldığını tespit etti.
Şubat 2022’den bu yana araştırmacılar hırsızı takip etmekşu ana kadar indirilen 113 ülkede kurbanlar, ile Hindistan ve Rusya’nın listenin başında yer aldığı Zimperium araştırmacıları Aazim Bill SE Yaswant, Rajat Goyal, Vishnu Pratapagiri ve Gianluca Braga blog yazısında özetlenmiştir 30 Temmuz’da yayımlanan kampanyanın, en az 13 komuta ve kontrol (C2) sunucusu ve 2.600 Telegram botuna sahip iyi organize olmuş saldırganlar tarafından finansal olarak motive edildiği görülüyor.
Sürekli gelişen bu kampanya onu özellikle tehlikeli hale getiriyor çünkü kaçabilir Zimperium Baş Bilim İnsanı Nico Chiaraviglio, “geleneksel imza tabanlı tespit yöntemleri”nin, “sıfırıncı gün kötü amaçlı yazılımlarını tespit edebilen gelişmiş, cihaza entegre bir kötü amaçlı yazılım motoru olmadan” savunmacıların bunu keşfetmesini zorlaştırdığını söylüyor.
“[The malware’s] “Dinamik olarak oluşturulabilme ve birden fazla tehdit vektörü aracılığıyla belirli cihaz kullanıcılarına benzersiz kötü amaçlı uygulamalar dağıtabilme yeteneği, tehdit aktörleri açısından yüksek düzeyde karmaşıklık ve uyarlanabilirliğe işaret ediyor” diyor.
Gerçekten de, araştırmacılar tarafından analiz edilen kötü amaçlı yazılım örneklerinin 99.000’den fazlası bilinmiyordu ve genel olarak erişilebilir depolarında mevcut değildi, bu da kampanyanın savunucular tarafından yaklaşık iki buçuk yıldır büyük ölçüde belgelenmemiş olduğunu gösteriyor. Dahası, saldırganlar kötü amaçlı yazılımın yakaladığı OTP mesajları açısından 60’tan fazla üst düzey küresel markayı hedef alıyor ve bazı markaların yüz milyonlarca kullanıcısı var.
Google sözcüsü ise Dark Reading’e yaptığı açıklamada, “Android kullanıcıları, Google Play Hizmetleri’ne sahip Android cihazlarda varsayılan olarak açık olan Google Play Protect sayesinde bu kötü amaçlı yazılımın bilinen sürümlerine karşı otomatik olarak korunuyor. Google Play Koruması “Play dışındaki kaynaklardan gelse bile, kullanıcıları uyarabilir veya kötü amaçlı davranış sergilediği bilinen uygulamaları engelleyebilir.”
Çok Aşamalı Kampanya
Araştırmacılar, kötü amaçlı yazılımla karşılaşma ve SMS ile diğer verilerin bulaştırılıp çalınması sürecinin birkaç aşamada gerçekleştiğini ve büyük olasılıkla çalınan verilerle daha fazla kötü amaçlı faaliyet yürütmeyi amaçladığını tespit etti.
“Bu çalınan kimlik bilgileri, popüler hizmetlerde sahte hesaplar oluşturmak gibi daha fazla dolandırıcılık faaliyeti için sıçrama tahtası görevi görüyor. kimlik avı kampanyaları başlatmak Araştırmacılar, gönderide “veya sosyal mühendislik saldırıları” ifadesini kullandı.
Kampanya başlıyor Bir Android kullanıcısı olduğunda Ya meşru bir uygulama mağazasını taklit eden aldatıcı bir reklam aracılığıyla ya da hedefle doğrudan iletişim kuran ve onları etkileşime girmeye ikna etmek için sosyal mühendislik kullanan otomatik Telegram botları kullanılarak kötü amaçlı bir uygulamayı yan yüklemeye kandırılır. Gönderiye göre, kötü amaçlı uygulama kurulumdan sonra SMS mesajlarını okuma izni ister, “Android’de hassas kişisel verilere kapsamlı erişim sağlayan yüksek riskli bir izin”.
Araştırmacılar, “Meşru uygulamalar belirli, iyi tanımlanmış işlevler için SMS izinleri gerektirebilirken, bu özel uygulamanın isteği muhtemelen yetkisizdir ve kurbanın özel kısa mesaj iletişimlerini sızdırmayı amaçlamaktadır” diye yazdı.
İzinleri elde ettikten sonra, kötü amaçlı yazılım bir C2 sunucusu için bir adres bulmak için uzanır ve ardından yürütülecek komutları ve çalınan SMS mesajlarını iletmek için bir bağlantı kurar. Beşinci ve son aşamada, saldırganlar kurbanın cihazını kötü amaçlı yazılımın gizli kaldığı ve gelen SMS mesajlarını esas olarak çevrimiçi hesap doğrulaması için değerli OTP’ler için sürekli olarak izlediği “sessiz bir engelleyiciye” dönüştürür.
Daha İyi Mobil Savunmaya “Acil İhtiyaç”
Chiaravigli, maddi kazanç elde etmek için SMS mesajlarının çalınmasının yeni bir tehdit olmadığını ancak saldırıdaki saldırganların dinamik ve ısrarcı yaklaşımının, anında yanıt gerektiren “rafine ve etkili bir saldırı yöntemi” olduğunu belirtiyor.
Uzmanlar, özellikle değerli OTP’leri çalabilen yaygın ve gizli uygulamalar olmak üzere mobil kötü amaçlı yazılımların artan yaygınlığının hem bireyler hem de işletmeler için önemli bir tehdit oluşturduğunu söylüyor. Bunlar yalnızca kullanıcıların gizliliğini ihlal etmekle kalmıyor, aynı zamanda eriştikleri hassas veriler kimlik bilgisi hırsızlığı, mali dolandırıcılık ve benzeri bir dizi kötü amaçlı etkinlik için sıçrama tahtası sağlayabilir. fidye yazılımı.
Sertifika yaşam döngüsü yönetimi sağlayıcısı Sectigo’nun ürün kıdemli başkan yardımcısı Jason Soroko, “Geçmişte SMS yönlendirme kötü amaçlı yazılımları gördük, ancak SMS Stealer’ın OTP’leri engelleme, kimlik bilgisi hırsızlığını kolaylaştırma ve daha fazla kötü amaçlı yazılımın sızmasına olanak sağlama yeteneği ciddi riskler oluşturuyor” diyor.
Bu durum, kuruluşların özellikle uygulama izinlerinin yönetimini ve “dijital kimlikleri ve kurumsal bütünlüğü korumak için” sürekli tehdit izlemeyi vurgulayan gelişmiş mobil güvenlik stratejilerini benimsemeleri için “acil ihtiyaç” olduğunu vurguluyor.
SlashNext Email Security+’ın saha CTO’su Stephen Kowski, yeni savunma stratejilerinin çok katmanlı olması ve gelişmiş davranış analizi, makine öğrenimi ve gerçek zamanlı tehdit istihbaratının bir kombinasyonunu içermesi gerektiğini belirterek, “Güçlü mobil tehdit savunma çözümleri, proaktif savunma stratejileri ve sürekli güvenlik güncellemeleri, gizli kötü amaçlı yazılımları belirlemede ve etkisiz hale getirmede önemli bir rol oynar.” dedi.
