Sahte Baz İstasyonlarından Zararlı Yazılım Yayıyorlar

Çinli bilgisayar korsanları sahte baz istasyonlarından Android bankacılık zararlı yazılımını SMS ile yayarak Smishing saldırısını bir ileri seviyeye taşıdı.

Smishing – SMS yoluyla yapılan oltalama saldırısı – dolandırıcıların kurbanlara oldukça inandırıcı sahte mesajlar göndererek zararlı yazılım indirmelerini sağlayan bir saldırı türüdür.

Check Point Software Technologies firmasının güvenlik araştırmacılarına göre Çinli bilgisayar korsanları “Swearing Trojan” isimli zararlı yazılımı yaymak için sahte baz istasyonları kullanıyor. “Swearing Trojan” bir Android bankacılık zararlı yazılımı ve daha önce bu yazılımı geliştiren kişiler tutuklanarak ortadan kaldırılmıştı.

Araştırmacılar tarafından bu olay bir saldırganın/saldırgan grubunun BTS – baz istasyonlarına takılan bir parça ekipman – kullanarak zararlı yazılım yaydığı ilk olay olarak değerlendiriliyor.

Kullanıcılara gönderilen sahte SMSler Çin telekomünikasyon servis sağlayıcılarından – China Mobile ve China Unicom – gelmiş gibi görünüyor ve zararlı yazılım içeren bir uygulama indirmelerini söyleyen oldukça inandırıcı bir yazı ile link içeriyor.

Günümüzde Google Play Çin’de engellendiğinden dolayı gönderilen SMS’te bulunan APK linki kullanıcıları o linkin güvenli olduğuna inandırabiliyor.

BTS kullanarak oldukça ikna edici SMSler göndermek kullanıcılar için büyük bir tehdit oluşturuyor. Gönderilen kısa mesaj kötü niyetli bir URL’ye tıklamalarını sağlayarak, kullanıcılara zor zamanlar yaşatabiliyor.

Kurban SMS ile gönderilen zararlı linke tıkladıktan sonra zararlı yazılım cihaza yükleniyor ve sonrasında içerisinde bulunduğu cihazın kişi listesindekilere benzer SMSler göndermeye başlıyor. Dolayısıyla sadece linke tıklayan kullanıcı değil, aynı zamanda o kullanıcının kişi listesindekilerde risk altında bulunuyor.

BTS anteninin maksimum aralığı normal bir baz istasyonuna göre oldukça düşük. Dolayısıyla BTS ile yapılan saldırılar küçük bir grubu ya da direkt olarak bir kişiyi hedefler ve genellikle başarılı olur.

Geçen yıl Tencent Security firması tarafından keşfedilen Swearing Trojan, kullanıcıların banka giriş bilgilerini çalmak, cihazda bulunan SMS uygulamasını zararlı bir versiyonu ile değiştirip gelen ve giden mesajlara müdahale etmek, iki aşamalı kimlik doğrulamasını atlatmak ve cihazdaki diğer hassas bilgileri çalmak gibi birçok beceriye sahip.

Bu saldırı ile ilgili bir ilginç bilgi daha: Saldırganlar yaptıkları kötü amaçlı eylemin tespit edilmesini engellemek için Swearing Trojan’ın C&C (command-and-control) sunucusuna bağlanmasına izin vermez. Bunun yerine çalınan bilgiler bilgisayar korsanlarına SMS veya e-posta yoluyla gönderilir.

Bahsi geçen saldırı şimdilik sadece Çin’i hedef alıyor gibi görünse de Check Point araştırmacıları diğer ülkeleri de uyarıyor. Çünkü saldırı türü başka bilgisayar korsanları tarafından da öğrenildiği takdirde diğer ülkelerde de yapılmaya başlanabilir.

Kaynak: thehackernews.com