Bu Android Kötü Amaçlı Yazılımı Facebook Reklamları Aracılığıyla Yayılıyor

Tehdit aktörleri, kötü amaçlı yazılımları dağıtmak için bir kez daha Meta'nın reklam platformunu kullanıyor. Bu seferki, Brokewell olarak bilinen bir Android casus yazılımı türü ve Facebook'ta kötü amaçlı reklam kampanyası aracılığıyla yayılıyor.

Bitdefender araştırmacılarına göre, siber suçlular, Android mobil kullanıcılarına piyasa takibi ve yatırım uygulaması TradingView Premium'a ücretsiz erişim vaat eden reklamlar yayınlıyor. TradingView markasını ve bazı durumlarda Labubus görsellerini kullanan sahte reklamlara tıklamak, kullanıcıların cihazlarına kötü amaçlı yazılım indirip yüklemesine neden oluyor.

Brokewell Android Cihazları Nasıl Ele Geçiriyor?

Bitdefender raporunda da belirtildiği gibi, bu kötü amaçlı reklam saldırısı, kullanıcıları TradingView'e aitmiş gibi görünen Facebook reklamlarına tıklamaya kandırıyor, ancak bağlantılar klonlanmış bir web sitesine yönlendiriliyor ve bu da kullanıcının cihazına kötü amaçlı bir .apk dosyasının indirilmesini başlatıyor. Kaldırılan uygulama, kullanıcıya cihazın kilit ekranı PIN kodunu da içeren bir dizi sahte güncelleme istemi gösterirken geniş erişilebilirlik izinleri talep ediyor. İzinler verildikten sonra, dropper tespit edilmemek için kendini kaldırıyor.

Kötü amaçlı yazılımın kendisi, çeşitli yeteneklere sahip gelişmiş bir casus yazılım ve uzaktan erişim trojanı (RAT) olup şu özelliklere sahiptir:

• Kripto hırsızlığı

• Google Authenticator'dan iki faktörlü kimlik doğrulama (2FA) kodlarını kazıma ve dışa aktarma

• Hesap ele geçirmek için sahte giriş ekranları yerleştirme

• Tuş kaydı ve ekran kaydı gibi gözetleme

• Bankacılık ve 2FA kodlarını çalmak için SMS mesajlarını ele geçirme

• Uzaktan cihaz kontrolü

Bu özel plan, Android mobil kullanıcılarını hedef alıyor; Windows masaüstü veya MacOS kullanan biri sahte bir TradingView reklamına tıklarsa, kötü amaçlı klonlanmış site yerine zararsız içerik görecek. Bununla birlikte, tehdit aktörleri, çeşitli kripto para, yatırım ve ticaret uygulamalarının yanı sıra önde gelen finans uzmanlarını taklit eden kampanyalarla, platformlar ve cihazlar genelinde kullanıcılara ulaşmak için Facebook reklamlarını kullandı.

Kötü amaçlı reklamlardan nasıl korunulur?

Facebook ve diğer sosyal medya sitelerindeki reklamlara karşı dikkatli olmalısınız, çünkü bunlar kötü amaçlı yazılımların ve diğer dolandırıcılıkların yayılması için yaygın araçlardır. Şirketi veya markayı tanıyor olsanız bile, özellikle de yatırım tavsiyesi veya gerçek olamayacak kadar iyi görünen bir teklif sunuyorlarsa, reklamlara tıklamayın. Sizi dosya veya uygulama indirmeye zorlayan benzer alan adlarına veya sahte web sitelerine yönlendiren bağlantılara dikkat edin.

Bunun yerine, uygulamaları yalnızca Google Play Store gibi güvenilir kaynaklardan indirmelisiniz. Kötü amaçlı uygulamalar bazen gözden kaçabilse de, doğrulanmamış kaynaklardan yan yükleme yapmaktan çok daha güvenlidir. Açık bir sebep olmadan erişilebilirlik izinleri veya kilit ekranı PIN'inizi isteyen uygulamalara şüpheyle yaklaşın ve uygulamanın işlevselliği için gerekli olmayan hiçbir şeye izin vermekten kaçının (uygulama yasal olsa bile).

Kaynak: LifeHacker

1,8 milyar iPhone kullanıcısına banka hesaplarını boşaltan yeni dolandırıcılık konusunda acil uyarı

Sahte satın alma uyarıları göndermek için kendi sunucularını ele geçiren bir dolandırıcılık hakkında tüm iPhone kullanıcılarına yeni bir uyarı gönderildi.

Bleeping Computer'ın bir raporuna göre, bilgisayar korsanları doğrudan teknoloji devinden gelen satın alma bildirimleri gibi görünen sahte e-postalar oluşturuyor.

Uyarı, bir kullanıcının sahte bir PayPal ödemesi ve ücretleri görüşmek isterlerse aramaları yönünde bir mesaj içeren şüpheli bir e-postayı paylaşmasının ardından geldi.

[email protected] adresinden gelen e-postada, "Merhaba Müşteri, PayPal hesabınızdan 599,00 ABD doları tahsil edildi. Son ödemenizin alındığını onaylıyoruz" ifadesi yer alıyordu.

Kimlik avı e-postası aslında bir iCloud Takvim davetiydi ve dolandırıcılık metni Notlar alanına gizlenmiş ve saldırganın kontrolündeki bir Microsoft 365 adresine gönderilmişti.

Böyle bir etkinlik oluşturulduğunda, Apple takvim sahibinin adını kullanarak kendi sunucularından ([email protected]) otomatik olarak bir e-posta gönderir.

Bu durumda, davet, bir e-posta listesi olduğu düşünülen bir Microsoft 365 hesabına gönderilmiş ve ardından mesaj, daha önceki bir PayPal tabanlı kimlik avı kampanyasına benzer şekilde birden fazla alıcıya iletilmiştir.

Saldırganlar, kurbanların geri aramalarını ve hesaplarının ele geçirildiğinin kendilerine bildirilmesini istemiştir. Dolandırıcılar, bu noktadan sonra onları kötü amaçlı yazılım yüklemeleri için kandırmayı ve suçlulara oturum açma bilgilerini çalma veya banka hesaplarını boşaltma erişimi sağlamayı amaçlamıştır.

Kaynak: DailyMail

Sahte WhatsApp ve TikTok uygulamaları Android kullanıcılarını casus yazılım indirmeye kandırmaya çalışıyor - buna kanmayın

Yeni bir casus yazılım kampanyası, kullanıcıları kimlik avı sitelerini ziyaret etmeye ve ClayRat casus yazılımını indirmeye ikna etmek için TikTok, YouTube ve WhatsApp gibi popüler uygulamaları taklit ediyor.

The Hacker News'in bildirdiğine göre, bu kampanya casus yazılımı yaymak için Telegram kanallarını da kullanıyor. Kötü amaçlı siteler ise meşruiyet sağlamak için yapay olarak şişirilmiş indirme sayıları ve sahte referanslar kullanıyor.

Kurulumdan sonra casus yazılım, SMS mesajları, arama kayıtları, bildirimler ve diğer cihaz bilgileri gibi büyük miktarda kişisel veriyi sızdırabiliyor. Ayrıca, yazılımı keşfeden mobil güvenlik şirketi Zimperium'daki araştırmacılara göre, ön kamerayla selfie çekebiliyor, SMS mesajları gönderebiliyor ve hatta arama yapabiliyor. Bunun nedeni, kullanıcıların yazılımı varsayılan SMS uygulaması olarak ayarlaması ve bu sayede hassas içeriklere ve mesaj işlevlerine erişebilmesi. Bu şekilde, bu hassas bilgileri yakalayıp kurbanın kişilerini kullanarak bu kötü amaçlı yazılımı diğer hedeflere yayabiliyor.

Bazı ClayRat sürümleri, Play Store güncelleme ekranına benzeyen hafif bir yükleyici gibi görünen kötü amaçlı yazılım yükleyicileri olarak işlev görür. Ancak, şifreli bir yük, uygulama öğelerinin içinde gizlidir. Neyse ki, bu kampanya şu anda yalnızca Rus kullanıcıları hedef alıyor. Ancak Zimperium, raporunda son 90 günde en az 600 örnek ve 50 yükleyici tespit etti. Bu, ClayRat kampanyasının her yinelemesinde, güvenlik araçları tarafından tespit edilmemek için yeni gizleme katmanları kullanıldığını ve casus yazılımın yakında ABD ve diğer İngilizce konuşulan ülkelerdeki Android kullanıcılarını hedef almak için kullanılabileceğini gösteriyor.

Casus yazılımlardan ve kötü amaçlı web sitelerinden nasıl kaçınılır?

Google Play Protect kullanan Android kullanıcıları, cihazlarına Google Play Hizmetleri aracılığıyla önceden yüklenmiş bu kullanışlı güvenlik aracıyla birlikte geldiği için, bu kötü amaçlı yazılımın bilinen sürümlerine karşı korunur. Ancak, çevrimiçi güvenliğiniz söz konusu olduğunda en iyi uygulamaları aklınızda bulundurmanızda fayda var: Bilinen uygulama üreticilerini ve web sitelerini kullanmaya çalışın, web sitelerini ziyaret etmeden önce URL'lerini kontrol edin ve bilgisayar korsanları tarafından saldırılarında kullanılabilecek sponsorlu bağlantılara veya reklamlara tıklamamaya çalışın.

Ayrıca, tüm cihazlarınızın çevrimiçi ortamda en iyi antivirüs yazılım çözümlerinden biriyle korunduğundan emin olun. Telefonunuz Google Play Protect ile önceden yüklenmiş olarak gelse de, ek güvenlik için en iyi Android antivirüs uygulamalarından birini çalıştırmayı düşünebilirsiniz. Aynı zamanda, antivirüs uygulamanız veya VPN veya güçlendirilmiş bir tarayıcı gibi yazılımlarınızla birlikte gelen ekstra özelliklerden tam olarak yararlanmalı ve potansiyel olarak şüpheli web siteleri hakkında gördüğünüz tüm uyarılara dikkat etmelisiniz. Birçok antivirüs paketi ayrıca karanlık web uyarıları, kimlik izleme ve daha fazlasını da içerir. Tüm bu özellikler, çevrimiçi ortamda korunmanıza yardımcı olabilir ve bir sorun olduğunda sizi anında uyarabilir.

ClayRat'e gelince, şu ana kadar tespit edilen casus yazılımın çok sayıda yinelemesi göz önüne alındığında, arkasındaki siber suçluların yeni güncellemeler üzerinde çalışıyor ve yazılıma ek kötü amaçlı özellikler ekliyor olması muhtemeldir. Bu nedenle, bu casus yazılımın yakın zamanda ortadan kalkacağını düşünmüyorum ve diğer ülkelerdeki Android kullanıcılarına yönelik saldırılarda kullanılması daha olası görünüyor, bu nedenle güvende kalmak için tetikte olmanız gerekecek.

Kaynak: Tom's Guide