ESET Research, kripto Nakit çalan ve yeni özelliklere sahip truva atı içeren WhatsApp ve Telegram uygulamaları tespit etti
Siber Emniyet şirketi ESET, anlık iletileşme uygulamalarına yerleştirilen ve ekran panosundaki bilgileri alabilen clipper ismi verilen Üzücü maksatlı yazılımın birinci örneğini tespit etti. Tehdit aktörleri, Düzmece web siteleri aracılığı ile kullanıcıların Android ve Windows sistemli aygıtlarına, içine Truva atı yerleştirilerek değiştirilmiş Telegram ve WhatsApp uygulamalarını indirmelerini sağlıyorlar.
Bu Düzmece uygulamalar sayesinde kurbanların kripto paralarını izleyebiliyorlar. Kötü emelli yazılım, kurbanın sohbet uygulamasından gönderdiği kripto Nakit cüzdan adreslerini saldırgana ilişkin adreslerle değiştirebiliyor. Ekran panosundan metin çıkarmak ve kripto Nakit cüzdanına ilişkin hesap kurtarma kodlarını Aşırmak için optik Ira tanımayı berbata kullanabiliyorlar.
ESET araştırmacıları, WhatsApp ve Telegram uygulamalarının truva atı gizlenmiş sürümleri ile Özellikle Android ve Windows kullanıcılarını gaye Meydan Laf konusu anlık iletileşme uygulamalarına ilişkin düzinelerce taklitçi internet sitesi tespit etti. Tespit edilen Kötü gayeli uygulamaların birden fazla, pano içeriklerini çalan yahut değiştiren, Kötü emelli bir yazılım tipi olan clipper yazılımlarından oluşuyor. Laf konusu yazılımların tümü, kurbanların kripto paralarını çalmaya çalışırken kimileri ise kripto Nakit cüzdanlarını maksat alıyor. ESET Research, birinci Defa Özellikle anlık iletileşme uygulamalarını gaye Meydan Android tabanlı clipper yazılımları tespit etti. Ayrıyeten bu uygulamaların kimileri, güvenliği ihlal edilmiş aygıtlarda kayıtlı ekran imgelerinden metin çıkarmak için optik Ira tanımlama (OCR) kullanıyor. Bu durum, Android tabanlı Kötü hedefli yazılımlar için bir Öbür birincisi oluşturuyor.
Dolandırıcılar anlık iletileşme uygulamaları üzerinden kripto Nakit cüzdanlarını ele geçirmeye çalışıyor
Taklitçi uygulamalarda kullanılan lisan incelendiğinde, bu yazılımları kullanan bireylerin Özellikle Çince konuşan kullanıcıları amaç aldığı ortaya çıktı. Çin’de, hem Telegram’ın hem de WhatsApp’ın sırasıyla 2015 ve 2017 yıllarından itibaren kullanılması yasak olduğu için bu uygulamaları kullanmak isteyen şahıslar, dolaylı yollara başvurmak zorunda kaldı. Laf konusu tehdit aktörleri, birinci olarak Düzmece YouTube kanallarına yönlendiren Google Ads’i kurdu ve akabinde kullanıcıları taklitçi Telegram ve WhatsApp internet sitelerine yönlendirdi. ESET Research, Laf konusu Düzmece reklamları ve ilgili YouTube kanallarını Google’a şikayet etti ve Google da bu reklam ve kanalların tümünün kullanımına Çabucak nihayet verdi.
Truva atı gizlenmiş uygulamaları tespit eden ESET araştırmacısı Lukáš Štefanko bu mevzuyla ilgili şunları söyledi: “Tespit ettiğimiz clipper yazılımlarının asıl gayesi kurbanın bildirilerini ele geçirip gönderilen ve alınan kripto Nakit cüzdan adreslerini saldırgana ilişkin adreslerle değiştirmek. Truva atı gizlenmiş Android tabanlı WhatsApp ve Telegram uygulamalarının yanı sıra, tıpkı uygulamaların truva atı gizlenmiş Windows sürümlerini de tespit ettik.”
Bu uygulamaların truva atı gizlenmiş sürümleri, birebir hedefe hizmet etmelerine Karşın farklı özelliklere sahip. İncelenen Android tabanlı clipper yazılımları, kurbanın aygıtında depolanan ekran imgeleri ile fotoğraflardaki metinleri okumak için OCR kullanan birinci Android temelli Kötü gayeli yazılım olma özelliğini taşıyor. OCR, anahtar cümleyi bulup Aşırmak için kullanılıyor. Anahtar Tümce ise kripto Nakit cüzdanlarını kurtarmak için kullanılan bir sıra sözden oluşan anımsatıcı kod manasına geliyor. Üzücü hedefli aktörler, anahtar cümleyi ele geçirir geçirmez direkt ilgili cüzdandaki bütün kripto paraları çalabiliyor.
Kötü gayeli yazılım, kurbanın kripto Nakit cüzdan adresini saldırganın sohbet adresi ile değiştiriyor. Bunu da ya direkt program içerisinde yer Meydan ya da saldırganın sunucusundan dinamik olarak ele geçirilen adreslerle yapıyor. Ayrıyeten Laf konusu yazılım, kripto paralarla ilgili muhakkak anahtar sözleri tespit etmek için Telegram iletilerini izliyor. Yazılım, bu Cin bir anahtar kelimeyi tespit ettiği anda bütün iletisi saldırganın sunucusuna iletiyor.
ESET Research, uzaktan erişim truva atları (RATs) içeren Windows tabanlı Telegram ve WhatsApp yükleyicilerinin yanı Dizi Laf konusu cüzdan adresi değiştiren clipper yazılımlarının Windows sürümlerini de tespit etti. Uygulama modelinden yola çıkarak Windows tabanlı Kötü maksatlı paketlerden birinin clipper yazılımlardan değil kurbanın sisteminin denetimini tümden ele geçirebilen RATs’lerden oluştuğu keşfedildi. Böylelikle Laf konusu RATs’ler, uygulama akışını ele geçirmeden kripto Nakit cüzdanlarını çalabiliyor.
Lukáš Štefanko bu mevzuda şu tavsiyelerde bulundu: “Uygulamaları Google Play Store üzere sadece muteber ve sağlam kaynaklardan yükleyin ve Değerli bilgileri içeren şifrelenmemiş fotoğrafları yahut ekran manzaralarını aygıtınızda depolamayın. Aygıtınızda truva atı gizlenmiş Telegram yahut WhatsApp uygulaması olduğunu düşünüyorsanız bu uygulamaları manuel olarak aygıtınızdan kaldırın ve uygulamayı ya Google Play üzerinden ya da direkt yasal internet sitesi üzerinden indirin. Windows tabanlı aygıtınızda Üzücü gayeli Telegram uygulaması olduğundan şüpheleniyorsanız tehdidi tespit ederek kaldıran bir Emniyet tahlili kullanın. Windows için WhatsApp’ın Biricik resmi sürümü şu anda Microsoft mağazasında mevcut.”
Kaynak: (BYZHA) – ak Haber Ajansı
Yorum Yok