Çinli firmalar tarafından üretilen ucuz Android akıllı telefonların, Haziran 2024’ten bu yana yürütülen bir kampanya kapsamında, WhatsApp ve Telegram gibi görünen ama gerçekte kripto para cüzdanı adreslerini çalan kötü amaçlı uygulamalarla önceden yüklü olarak geldiği tespit edildi.
Finansal bilgileri çalmak için kötü amaçlı yazılım içeren uygulamalar kullanmak yeni bir yöntem olmasa da, Rus antivirüs firması Doctor Web’in bulguları, tehdit aktörlerinin çeşitli Çinli üreticilerin tedarik zincirlerini doğrudan hedef alarak yeni cihazlara kötü amaçlı yazılım yerleştirmeye başladığını gösteriyor.
Doctor Web, “Sahte uygulamalar, telefonun önceden yüklü yazılımında doğrudan tespit edildi,” dedi. “Bu vakada, kötü amaçlı kod WhatsApp mesajlaşma uygulamasına eklenmiş.”
Tehlikeye atılan cihazların çoğunluğunun, Samsung ve Huawei gibi tanınmış markaların üst segment modellerini taklit eden düşük kaliteli telefonlar olduğu belirtiliyor. Bu telefonlar S23 Ultra, S24 Ultra, Note 13 Pro ve P70 Ultra gibi isimlerle satılıyor. Etkilenen modellerin en az dördünün SHOWJI markasına ait olduğu bildirildi.
Saldırganlar ayrıca, cihazın “Hakkında” sayfasında ve AIDA64 ile CPU-Z gibi donanım ve yazılım bilgi araçlarında gösterilen teknik özellikleri sahte gösterecek bir uygulama kullanarak, kullanıcıların telefonun Android 14 çalıştırdığı ve donanımının daha iyi olduğu izlenimini edinmesini sağladı.
Kötü amaçlı Android uygulamalar, LSPatch adlı açık kaynaklı bir proje kullanılarak oluşturuluyor. Bu yöntemle “Shibai” olarak adlandırılan truva atı, aslında meşru olan yazılımlara enjekte ediliyor. Doctor Web’in analiz ettiği örneklerde, 40’a yakın uygulamanın (mesajlaşma uygulamaları ve QR kod okuyucular gibi) bu şekilde değiştirildiği tahmin ediliyor.
Araştırmaya göre, uygulama güncelleme süreci ele geçirilerek saldırganların kontrolündeki bir sunucudan APK dosyası indiriliyor ve sohbetlerde Ethereum veya Tron gibi kripto para cüzdanı adresleri desenleri aranıyor. Bulunursa, bu adresler saldırganların kendi cüzdan adresleriyle değiştiriliyor.
Doctor Web şöyle açıkladı:
“Giden bir mesajda, kurban kendi cüzdan adresini doğru görürken, alıcı taraf sahte (saldırgana ait) cüzdan adresini görüyor. Gelen mesajlarda ise, gönderen kişi kendi cüzdan adresini doğru şekilde görürken, kurbanın cihazında adres saldırganın cüzdan adresi ile değiştiriliyor.”
Adres değiştirmenin yanı sıra, kötü amaçlı yazılım cihaz bilgilerini, tüm WhatsApp mesajlarını ve cihazdaki DCIM, Pictures, Alarms, Downloads, Documents ve Screenshots klasörlerindeki .jpg, .png ve .jpeg uzantılı görselleri toplayarak saldırganın sunucusuna gönderme yeteneğine de sahip.
Bu adımın amacı, cihazdaki görseller arasında cüzdan kurtarma ifadelerini (mnemonic phrases) taramak ve bu sayede kullanıcıların kripto cüzdanlarına yetkisiz erişim sağlamak.
Kampanyayı kimin yürüttüğü henüz netleşmedi, ancak saldırganların kötü amaçlı uygulamaları dağıtmak için yaklaşık 30 alan adı kullandığı ve operasyonu yönetmek için 60’tan fazla komut ve kontrol (C2) sunucusu işlettiği tespit edildi.
Saldırganlara ait yaklaşık iki düzine kripto para cüzdanının analizi sonucunda, son iki yılda 1.6 milyon dolardan fazla gelir elde ettikleri ortaya çıktı. Bu da tedarik zinciri saldırısının büyük ölçüde başarılı olduğunu gösteriyor.
Bu gelişme, İsviçre merkezli siber güvenlik şirketi PRODAFT’ın, “Gorilla” adlı yeni bir Android kötü amaçlı yazılım ailesini ortaya çıkarmasıyla aynı zamana denk geliyor. Gorilla, cihaz modeli, telefon numarası, Android sürümü, SIM kart bilgileri ve yüklü uygulamalar gibi hassas bilgileri toplamak, cihazda kalıcı erişim sağlamak ve uzaktan sunucudan komut almak için geliştiriliyor.
PRODAFT’ın açıklamasına göre,
“Kotlin diliyle yazılan bu yazılım, özellikle SMS’leri yakalamaya ve C2 sunucusuyla kalıcı iletişime odaklanıyor. Henüz gelişmiş gizleme (obfuscation) teknikleri kullanmıyor, bu da aktif geliştirme aşamasında olabileceğini gösteriyor.”
Son aylarda, Google Play Store üzerinden yayılan ve “FakeApp” truva atı içeren sahte uygulamalar da tespit edildi. Bu uygulamalar, DNS sunucusu üzerinden bir yapılandırma dosyası çekiyor ve burada belirtilen URL’yi yükleyerek kullanıcıları zararlı sitelere yönlendiriyor veya phishing (oltalama) pencereleri açabiliyor. Söz konusu sahte uygulamalar daha sonra Play Store’dan kaldırıldı.
Diğer yazılarımıza buradan ulaşabilirsiniz.
Leave a Comment