Siber güvenlik şirketi ESET popüler kripto para cüzdanlarını taklit eden 40’tan fazla web sitesini ortaya çıkardı. ESET Araştırma Birimi’nin bulgularına göre saldırganlar, sahte ve meşru siteler, Telegram ve Facebook grupları aracılığıyla kötü amaçlı uygulamalar dağıttılar.

Siber güvenlik şirketi ESET, Android ve iOS işletim sistemlerini (iPhone) kullanan mobil cihazları hedefleyen karmaşık bir kötü amaçlı kripto para şemasını keşfetti ve geriye doğru takip etti. Kötü amaçlı uygulamalar Metamask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken ve OneKey gibi yasal cüzdan hizmetlerini taklit eden sahte web siteleri aracılığıyla dağıtılıyor. Bu sahte web siteleri, yanıltıcı makaleler kullanan yasal sitelere yerleştirilen reklamlar kullanıyor. Ayrıca, tehdit aktörleri bu kötü amaçlı planı daha fazla yaymak için Telegram ve Facebook grupları yoluyla aracılar işe alıyor. Kötü amaçlı uygulamaların temel amacı, kullanıcıların parasını çalmak ve ESET şu ana kadar bu planın çoğunlukla Çinli kullanıcıları hedef aldığını saptadı. ESET, bu tekniklerin diğer pazarlara da yayılmasını beklediğini paylaştı.

Mesajlaşma platformları üzerinden yayılım sağlıyorlar

ESET, gelişmiş gizlilik ve şifreleme özelliklerine sahip ücretsiz ve popüler birçok platforma sahip mesajlaşma uygulaması olan Telegram’da kripto para mobil cüzdanlarının kötü niyetli kopyalarını destekleyen düzinelerce grup buldu. Bu grupların, daha fazla dağıtım ortağı arayan bu şemanın arkasındaki tehdit aktörü tarafından oluşturulduğu ve bu etkinliğin Mayıs 2021’den beri devam ettiği düşünülüyor. Ekim 2021’den itibaren bu Telegram gruplarının daha fazla dağıtım ortağı aramak amacıyla en az 56 Facebook grubunda paylaşıldığını ve tanıtıldığı görüldü. Kasım 2021’de, iki yasal Çin web sitesini kullanarak kötü amaçlı cüzdanların dağıtımı tespit edildi. 

Kimi ve hangi siteyi takip ettiğinize dikkat edin 

Bu dağıtım vektörlerinin yanı sıra, yalnızca mobil kullanıcıları hedefleyen düzinelerce sahte cüzdan web sitesi de keşfedildi. Potansiyel bir kurban, web sitelerinden birini ziyaret ederek Android veya iOS platformu için truva atından etkilenmiş bir cüzdan uygulaması indirebilir. Bu kötü amaçlı uygulama, kurulduğu işletim sistemine bağlı olarak farklı davranıyor. Android için ise cihazlarında henüz yasal bir cüzdan uygulaması yüklü olmayan yeni kripto para kullanıcılarını hedef aldığı düşünülüyor. iOS cihazlarda kurbanlar App Store’dan yasal sürüm ve bir web sitesinden kötü amaçlı sürüm olmak üzere her iki sürümü de yükleyebilir.

iOS için bu kötü amaçlı uygulamalar App Store’da mevcut değil. Bu uygulamalar, güvenilirliği şüpheli bir kod imzalama sertifikası ekleyen yapılandırma profilleri kullanılarak indirilmeli ve kurulmalıdır.  Google Play de ise Google App Defense Alliance ortağı olan ESET’in talebi doğrultusunda  Ocak 2022’de Google, resmi mağazadaki 13 kötü amaçlı uygulamayı kaldırdı. Ayrıca, bu tehdidin kaynak kodu sızdırıldı ve birkaç Çinli web sitesinde paylaşıldı. Bu durum çeşitli tehdit aktörlerini çekebilir ve bu tehdidi daha da yaygın hale gelebilir.

Saldırıları  ortaya çıkaran  ESET araştırmacısı Lukáš Štefanko bu konuda şunları söyledi: “Bu kötü amaçlı uygulamalardan bazıları güvenli olmayan bir HTTP bağlantısı kullanarak saldırganların sunucusuna gizli kurban tohum tümceleri gönderdiğinden, kurbanlar için başka bir tehdit daha oluşturur. Bu, kurbanların paralarının bu şemanın operatörünün yanı sıra aynı ağda gizlice dinleyen farklı bir saldırgan tarafından da çalınabileceği anlamına geliyor. Ayrıca Jaxx Liberty cüzdanının kimliğine bürünen 13 kötü amaçlı uygulama da keşfettik. Bu uygulamalar, Google Play Store’da bulunuyor. Paranızı yönetmek için hangi mobil uygulamayı kullanacağınızı çok dikkatli seçmelisiniz.”