Dijital güvenlik şirketi ESET, mobil kullanıcıları hedef alan nadir bir tür kimlik avı kampanyası keşfetti. Gözlemlenen uygulamaların çoğu Çek bankalarının müşterilerini hedef alıyor ancak ESET, hem Macaristan hem de Gürcistan'daki bankaları da hedef alan uygulamalar tespit etti. ESET mağdurları korumak için bankalarını bilgilendirdi.ESET Arama, mobil kullanıcıları hedef alan nadir bir kimlik avı kampanyası türü keşfetti ve büyük bir Çek bankasının müşterilerini hedef alan bir vakayı analiz etti. Bu teknik, kullanıcının üçüncü taraf uygulamasının yüklenmesi için izin vermesine gerek kalmadan, üçüncü taraf bir web sitesinden bir kimlik avı uygulaması yüklediği için dikkate değerdir. Bu yöntem, Google Play Store'dan yüklenmiş gibi görünen özel bir APK türünün Android platformuna sessiz yüklenmesine neden olabilir. Tehdit aynı zamanda iPhone (iOS) kullanıcılarını da hedef alıyor.iOS'u hedefleyen kimlik avı web siteleri, kurbanların ana ekrana bir Aşamalı Web Uygulaması (PWA) eklemesini gerektirirken, Android'de PWA, tarayıcıdaki özel açılır pencerelerin onaylanmasının ardından yüklenir. Her iki işletim sisteminde de bu phishing uygulamalarının taklit ettikleri gerçek bankacılık uygulamalarından farkı yoktur. PWA'lar aslında bağımsız bir uygulama hissi veren web siteleridir ve bu duygu, yerel sistem talimatlarının kullanılmasıyla güçlendirilir. Tıpkı web siteleri gibi PWA'lar da platformlar arasıdır; Bu, PWA kimlik avı kampanyalarının hem iOS hem de Android kullanıcılarını nasıl hedefleyebileceğini açıklıyor. Bu yeni teknik, Çek Cumhuriyeti'nde, müşterinin markasını hedef alan tehditlerin izlenmesini sağlayan ESET Marka İstihbaratı Hizmeti üzerinde çalışan ESET analistleri tarafından gözlemlendi.iPhone'da tüm güvenlik varsayımları kırılabilirTehdidi analiz eden ESET araştırmacısı Jakub Osmani, “iPhone kullanıcıları için böyle bir eylem, güvenlikle ilgili tüm 'kapalı ekosistem' varsayımlarını ortadan kaldırabilir” dedi. ESET analistleri, mobil kullanıcıları hedef alan bir dizi kimlik avı kampanyasının üç farklı URL dağıtım mekanizması kullandığını keşfetti. Bu mekanizmalar otomatik sesli aramaları, SMS mesajlarını ve kötü amaçlı sosyal medya reklamlarını içerir. Sesli aramaların gönderilmesi, kullanıcıyı güncel olmayan bir bankacılık uygulaması konusunda uyaran ve kullanıcıdan sayısal tuş takımında bir seçeneği seçmesini isteyen otomatik bir arama aracılığıyla yapılıyor. Doğru düğmeye basıldığında, bir tweet'te bildirildiği gibi, SMS yoluyla bir kimlik avı URL'si gönderilir. İlk SMS gönderimi Çek telefon numaralarına rastgele mesaj gönderilerek yapılır. Gönderilen mesaj, bir kimlik avı bağlantısı ve sosyal mühendislik kurbanlarını bu bağlantıyı ziyaret etmeye davet eden bir kısa mesaj içeriyor. Kötü niyetli kampanya, Instagram ve Facebook gibi Meta platformlarında kaydedilen reklamlar aracılığıyla yayıldı. Bu reklamlar, “aşağıdaki güncellemeyi indiren” kullanıcılara yönelik sınırlı süreli bir teklif gibi bir harekete geçirici mesaj içerir. İlk adımda gönderilen URL'yi açtıktan sonra Android kurbanlarına iki farklı kampanya sunuluyor: hedeflenen bankacılık uygulamasının resmi Google Play Store sayfasını taklit eden yüksek kaliteli bir kimlik avı sayfası veya o uygulamanın taklitçisi bir web sitesi. Buradan mağdurlardan bankacılık uygulamasının “yeni sürümünü” yüklemeleri isteniyor. Kimlik avı kampanyası ve yöntemi ancak web uygulamalarının ilerleyen teknolojisi sayesinde mümkündür. PWA'lar, birden fazla platform ve cihazda çalışabilen, geleneksel web uygulaması teknolojileri kullanılarak oluşturulmuş uygulamalardır. Chrome tarayıcısı bir PWA'dan, diğer bir deyişle bir APK'dan yerel bir Android uygulaması oluşturduğundan WebAPK'ler, Progressive Web Apps'in yükseltilmiş bir sürümü olarak düşünülebilir. Bu WebAPK'ler normal yerel uygulamalara benzer. Ayrıca, bir WebAPK yüklemek herhangi bir “güvenilmeyen kaynaktan yükleme” uyarısına neden olmaz. Uygulama, üçüncü taraf kaynaklardan kurulum yapılmasına izin verilmese bile yüklenecektir. Bir grup, resmi Telegram API'si aracılığıyla bir Telegram grup sohbetine girilen tüm bilgileri kaydetmek için bir Telegram botu kullanırken, diğeri geleneksel bir komuta ve kontrol (C&C) sistemi kullandı. ) bir yönetim paneline sahip sunucu. Osmani, “Kampanyaların iki farklı C&C altyapısı kullanmasına dayanarak iki ayrı grubun bankalara karşı PWA/WebAPK kimlik avı kampanyaları yürüttüğünü belirledik” dedi. Bilinen vakaların çoğu Çek Cumhuriyeti'nde meydana gelmiş olsa da özellikle Macaristan ve Gürcistan'da iki kimlik avı uygulaması ortaya çıktı. ESET Araştırma tarafından bu konuda tespit edilen tüm hassas bilgiler, işlenmek üzere derhal ilgili bankalara gönderildi. ESET ayrıca çok sayıda kimlik avı alan adının ve C&C sunucusunun kaldırılmasına da yardımcı oldu. Kaynak: (guzelhaber.net) Güzel Haber Masası
—–Sponsorlu Bağlantılar—–
—–Sponsorlu Bağlantılar—–