ESET Research, kripto para çalan ve yeni özelliklere sahip truva atı kapsayan WhatsApp ve Telegram uygulamaları tespit etti
Siber güvenlik firmayı ESET, anlık iletileşme uygulamalarına yerleştirilen ve ekran panosundaki bilgileri alabilen clipper ismi verilen makûs emelli yazılımın ilk misalini tespit etti. Tehdit oyuncuları, sahte web siteleri aracılığı ile kullanıcıların Android ve Windows sistemli makinelerine, içine Truva atı yerleştirilerek değiştirilmiş Telegram ve WhatsApp uygulamalarını indirmelerini sağlıyorlar.
Bu sahte uygulamalar sayesinde kurbanların kripto paralarını izleyebiliyorlar. Makûs emelli yazılım, kurbanın sohbet uygulamasından yolladığı kripto para cüzdan adreslerini saldırgana ait adreslerle değiştirebiliyor. Ekran panosundan metin çıkarmak ve kripto para cüzdanına ait hesap kurtarma kodlarını çalmak için optik kişilik tanımayı makûsa kullanabiliyorlar.
ESET tahlilcileri, WhatsApp ve Telegram uygulamalarının truva atı saklanmış versiyonları ile özellikle Android ve Windows kullanıcılarını hedef alan söz mevzusu anlık iletileşme uygulamalarına ait düzinelerce taklitçi internet sitesi tespit etti. Tespit edilen makûs emelli uygulamaların çoğu, pano içeriklerini çalan veya değiştiren, makûs emelli bir yazılım cinsi olan clipper yazılımlarından oluşuyor. Söz mevzusu yazılımların tümü, kurbanların kripto paralarını çalmaya çalışırken kimileri ise kripto para cüzdanlarını hedef alıyor. ESET Research, ilk defa özellikle anlık iletileşme uygulamalarını hedef alan Android tabanlı clipper yazılımları tespit etti. Ayrıca bu uygulamaların kimileri, güvenliği ihlal edilmiş makinelerde kayıtlı ekran görüntülerinden metin çıkarmak için optik kişilik belirleme OCR kullanıyor. Bu vaziyet, Android tabanlı makûs emelli yazılımlar için bir başka ilki oluşturuyor.
Dolandırıcılar anlık iletileşme uygulamaları üzerinden kripto para cüzdanlarını ele geçirmeye çalışıyor
Taklitçi uygulamalarda kullanılan dil araştırıldığında, bu yazılımları kullanan şahısların özellikle Çince konuşan kullanıcıları hedef aldığı ortaya çıktı. Çin ’de, hem Telegram ’ın hem de WhatsApp ’ın sırasıyla 2015 ve 2017 senelerinden itibaren kullanılması yasak olduğu için bu uygulamaları kullanmak isteyen şahıslar, dolaylı yollara müracaat etmek zorunda kaldı. Söz mevzusu tehdit oyuncuları, ilk olarak sahte YouTube kanallarına yönlendiren Google Ads ’i kurdu ve ardından kullanıcıları taklitçi Telegram ve WhatsApp internet sitelerine yönlendirdi. ESET Research, söz mevzusu sahte reklamları ve alakalı YouTube kanallarını Google ’a şikayet etti ve Google da bu reklam ve kanalların tümünün kullanımına hemen son verdi.
Truva atı saklanmış uygulamaları tespit eden ESET analisti Lukáš Štefanko bu mevzuyla alakalı şunları söyledi: “Tespit ettiğimiz clipper yazılımlarının reel emeli kurbanın iletilerini ele geçirip sevk edilen ve alınan kripto para cüzdan adreslerini saldırgana ait adreslerle değiştirmek. Truva atı saklanmış Android tabanlı WhatsApp ve Telegram uygulamalarının yanı gizeme, aynı uygulamaların truva atı saklanmış Windows versiyonlarını da tespit ettik.”
Bu uygulamaların truva atı saklanmış versiyonları, aynı emele hizmet etmelerine karşın değişik özelliklere sahip. Araştırılan Android tabanlı clipper yazılımları, kurbanın makinesinde depolanan ekran görüntüleri ile resimlerdeki metinleri okumak için OCR kullanan ilk Android temelli makûs emelli yazılım olma özelliğini taşıyor. OCR, anahtar tümceyi bulup çalmak için kullanılıyor. Anahtar tümce ise kripto para cüzdanlarını kurtarmak için kullanılan bir dizi sözcükten oluşan hatırlatıcı kod anlamına geliyor. Makûs emelli oyuncular, anahtar tümceyi ele geçirir geçirmez doğrudan alakalı cüzdandaki tüm kripto paraları çalabiliyor.
Makûs emelli yazılım, kurbanın kripto para cüzdan adresini saldırganın sohbet adresi ile değiştiriyor. Bunu da ya doğrudan program içerisinde yer alan ya da saldırganın sunucusundan dinç olarak ele geçirilen adreslerle yapıyor. Ayrıca söz mevzusu yazılım, kripto paralarla alakalı belirli anahtar sözcükleri tespit etmek için Telegram iletilerini izliyor. Yazılım, bu cins bir anahtar sözcüğü tespit ettiği anda tüm iletiyi saldırganın sunucusuna iletiyor.
ESET Research, uzaktan ulaşım truva atları RATs kapsayan Windows tabanlı Telegram ve WhatsApp yükleyicilerinin yanı gizeme söz mevzusu cüzdan adresi değiştiren clipper yazılımlarının Windows versiyonlarını da tespit etti. Uygulama modelinden yola çıkarak Windows tabanlı makûs emelli kutulardan birinin clipper yazılımlardan değil kurbanın sisteminin hakimiyetini tümden ele geçirebilen RATs ’lerden oluştuğu keşfedildi. Böylece söz mevzusu RATs ’ler, uygulama akışını ele geçirmeden kripto para cüzdanlarını çalabiliyor.
Lukáš Štefanko bu mevzuda şu önerilerde bulundu: “Uygulamaları Google Play Store gibi sadece emin ve sağlam kaynaklardan yükleyin ve ehemmiyetli bilgileri kapsayan şifrelenmemiş fotoğrafları veya ekran görüntülerini makinenizde depolamayın. Makinenizde truva atı saklanmış Telegram veya WhatsApp uygulaması olduğunu düşünüyorsanız bu uygulamaları manuel olarak aygıtınızdan kaldırın ve uygulamayı ya Google Play üzerinden ya da doğrudan legal internet sitesi üzerinden indirin. Windows tabanlı makinenizde makûs emelli Telegram uygulaması olduğundan şüpheleniyorsanız tehdidi tespit ederek kaldıran bir güvenlik çözümü kullanın. Windows için WhatsApp ’ın tek resmi versiyonu şu anda Microsoft mağazasında mevcut.”
Kaynak: adamnedio.com