Bu Android Kötü Amaçlı Yazılımı Facebook Reklamları Aracılığıyla Yayılıyor

Tehdit aktörleri, kötü amaçlı yazılımları dağıtmak için bir kez daha Meta'nın reklam platformunu kullanıyor. Bu seferki, Brokewell olarak bilinen bir Android casus yazılımı türü ve Facebook'ta kötü amaçlı reklam kampanyası aracılığıyla yayılıyor.

Bitdefender araştırmacılarına göre, siber suçlular, Android mobil kullanıcılarına piyasa takibi ve yatırım uygulaması TradingView Premium'a ücretsiz erişim vaat eden reklamlar yayınlıyor. TradingView markasını ve bazı durumlarda Labubus görsellerini kullanan sahte reklamlara tıklamak, kullanıcıların cihazlarına kötü amaçlı yazılım indirip yüklemesine neden oluyor.

Brokewell Android Cihazları Nasıl Ele Geçiriyor?

Bitdefender raporunda da belirtildiği gibi, bu kötü amaçlı reklam saldırısı, kullanıcıları TradingView'e aitmiş gibi görünen Facebook reklamlarına tıklamaya kandırıyor, ancak bağlantılar klonlanmış bir web sitesine yönlendiriliyor ve bu da kullanıcının cihazına kötü amaçlı bir .apk dosyasının indirilmesini başlatıyor. Kaldırılan uygulama, kullanıcıya cihazın kilit ekranı PIN kodunu da içeren bir dizi sahte güncelleme istemi gösterirken geniş erişilebilirlik izinleri talep ediyor. İzinler verildikten sonra, dropper tespit edilmemek için kendini kaldırıyor.

Kötü amaçlı yazılımın kendisi, çeşitli yeteneklere sahip gelişmiş bir casus yazılım ve uzaktan erişim trojanı (RAT) olup şu özelliklere sahiptir:

• Kripto hırsızlığı

• Google Authenticator'dan iki faktörlü kimlik doğrulama (2FA) kodlarını kazıma ve dışa aktarma

• Hesap ele geçirmek için sahte giriş ekranları yerleştirme

• Tuş kaydı ve ekran kaydı gibi gözetleme

• Bankacılık ve 2FA kodlarını çalmak için SMS mesajlarını ele geçirme

• Uzaktan cihaz kontrolü

Bu özel plan, Android mobil kullanıcılarını hedef alıyor; Windows masaüstü veya MacOS kullanan biri sahte bir TradingView reklamına tıklarsa, kötü amaçlı klonlanmış site yerine zararsız içerik görecek. Bununla birlikte, tehdit aktörleri, çeşitli kripto para, yatırım ve ticaret uygulamalarının yanı sıra önde gelen finans uzmanlarını taklit eden kampanyalarla, platformlar ve cihazlar genelinde kullanıcılara ulaşmak için Facebook reklamlarını kullandı.

Kötü amaçlı reklamlardan nasıl korunulur?

Facebook ve diğer sosyal medya sitelerindeki reklamlara karşı dikkatli olmalısınız, çünkü bunlar kötü amaçlı yazılımların ve diğer dolandırıcılıkların yayılması için yaygın araçlardır. Şirketi veya markayı tanıyor olsanız bile, özellikle de yatırım tavsiyesi veya gerçek olamayacak kadar iyi görünen bir teklif sunuyorlarsa, reklamlara tıklamayın. Sizi dosya veya uygulama indirmeye zorlayan benzer alan adlarına veya sahte web sitelerine yönlendiren bağlantılara dikkat edin.

Bunun yerine, uygulamaları yalnızca Google Play Store gibi güvenilir kaynaklardan indirmelisiniz. Kötü amaçlı uygulamalar bazen gözden kaçabilse de, doğrulanmamış kaynaklardan yan yükleme yapmaktan çok daha güvenlidir. Açık bir sebep olmadan erişilebilirlik izinleri veya kilit ekranı PIN'inizi isteyen uygulamalara şüpheyle yaklaşın ve uygulamanın işlevselliği için gerekli olmayan hiçbir şeye izin vermekten kaçının (uygulama yasal olsa bile).

Kaynak: LifeHacker

1,8 milyar iPhone kullanıcısına banka hesaplarını boşaltan yeni dolandırıcılık konusunda acil uyarı

Sahte satın alma uyarıları göndermek için kendi sunucularını ele geçiren bir dolandırıcılık hakkında tüm iPhone kullanıcılarına yeni bir uyarı gönderildi.

Bleeping Computer'ın bir raporuna göre, bilgisayar korsanları doğrudan teknoloji devinden gelen satın alma bildirimleri gibi görünen sahte e-postalar oluşturuyor.

Uyarı, bir kullanıcının sahte bir PayPal ödemesi ve ücretleri görüşmek isterlerse aramaları yönünde bir mesaj içeren şüpheli bir e-postayı paylaşmasının ardından geldi.

[email protected] adresinden gelen e-postada, "Merhaba Müşteri, PayPal hesabınızdan 599,00 ABD doları tahsil edildi. Son ödemenizin alındığını onaylıyoruz" ifadesi yer alıyordu.

Kimlik avı e-postası aslında bir iCloud Takvim davetiydi ve dolandırıcılık metni Notlar alanına gizlenmiş ve saldırganın kontrolündeki bir Microsoft 365 adresine gönderilmişti.

Böyle bir etkinlik oluşturulduğunda, Apple takvim sahibinin adını kullanarak kendi sunucularından ([email protected]) otomatik olarak bir e-posta gönderir.

Bu durumda, davet, bir e-posta listesi olduğu düşünülen bir Microsoft 365 hesabına gönderilmiş ve ardından mesaj, daha önceki bir PayPal tabanlı kimlik avı kampanyasına benzer şekilde birden fazla alıcıya iletilmiştir.

Saldırganlar, kurbanların geri aramalarını ve hesaplarının ele geçirildiğinin kendilerine bildirilmesini istemiştir. Dolandırıcılar, bu noktadan sonra onları kötü amaçlı yazılım yüklemeleri için kandırmayı ve suçlulara oturum açma bilgilerini çalma veya banka hesaplarını boşaltma erişimi sağlamayı amaçlamıştır.

Kaynak: DailyMail