Kaspersky Global Araştırma ve Analiz Ekibi, Android kullanıcılarını hedef alan yeni bir kötü niyetli kampanya tespit etti. Bu kampanya, sahte düğün davetiyeleri kullanarak kurbanları Kaspersky tarafından Tria Stealer olarak etiketlenen kötü amaçlı bir uygulamayı yüklemeye ikna ediyor. Ardından kısa mesaj ve e-postalardaki içerikleri diğer verilerle birlikte saldırganlara iletiyor, cihaz sahiplerinin WhatsApp ve Telegram hesaplarını ele geçirerek arkadaşlarından veya ailelerinden para istiyor. SMS mesajlarının ele geçirilmesiyle saldırganlar, bu hizmetlerden OTP giriş kodlarını talep ederek ve ele geçirilen SMS mesajlarından bunları okuyarak farklı uygulama veya hizmetlerdeki (örneğin çevrimiçi bankacılık) hesaplara erişim sağlama şansına da sahip oluyor.

Android cihazlarda, kullanıcıların uygulamaları Google Play gibi resmi uygulama mağazalarını atlayarak doğrudan APK dosyası biçiminde gelen yükleme dosyalarından yüklemesi mümkün. Bu durum bazı koşullarda kullanışlı olsa da, aynı zamanda risk de taşıyor ve bazen siber suçlular tarafından kötü amaçlı yazılım yaymak için kullanılıyor. Bunlar arasında özellikle Tria Stealer, Telegram ve WhatsApp’taki kişisel ve grup sohbetleri aracılığıyla bir APK yükleme dosyası şeklinde dağıtılıyor. Alıcıları sözde bir düğüne davet etmek için sosyal mühendislik kullanıyor ve davetiyeyi görüntülemek için APK’yı yüklemelerini istiyor.

Kötü amaçlı yazılım yüklendikten sonra metin mesajlarını okuma ve alma, telefon durumunu, arama günlüklerini ve ağ etkinliğini izleme gibi hassas verilere ve işlevlere erişmesine izin veren izinlerin yanı sıra sistem düzeyinde uyarılar görüntüleme, arka planda çalışma ve cihaz yeniden başlatıldıktan sonra otomatik olarak başlama gibi eylemler gerçekleştirmesini istiyor. Bu izinler toplu olarak cihaz işlemleri üzerinde önemli bir kontrol sağlıyor ve saldırganlar mesaj ve e-postaları çalmak için kurbanların bildirimlerine müdahale edebiliyor. Uygulama, kurbanı isteklerin ve uygulamanın kendisinin meşru olduğunu düşünmesi için kandırmak amacıyla dişli simgesine sahip bir sistem ayarları uygulamasını taklit ediyor.

Kullanıcıdan ayrıca telefon numarasını girmesi isteniyor ve bu numara cihazın marka ve modeliyle birlikte saldırganlara gönderiliyor. Çalınan tüm veriler Telegram botları aracılığıyla saldırganlara aktarılıyor.

Kaspersky GReAT Güvenlik Araştırmacısı Fareed Radzi, “Bu kötü amaçlı uygulama, kampanya örneklerinde bulunan benzersiz metin dizilerine dayanarak Kaspersky tarafından ‘Tria Stealer’ olarak adlandırıldı. Araştırmamız, bu yazılımın muhtemelen Endonezya dilini konuşan tehdit aktörleri tarafından işletildiğini gösteriyor. Çünkü içeriğinde Endonezya dilinde yazılmış eserler bulduk, yani kötü amaçlı yazılıma gömülü birkaç benzersiz dizge ve saldırganlar tarafından kullanılan Telegram botlarının adlandırma modeli böyleydi. Hırsızlar ciddi mali kayıplara ve gizlilik ihlallerine neden olabilir. Bireylerin ve kurumsal kullanıcıların her zaman tetikte olmaları ve tanıdıkları birinden gelse bile çevrimiçi ortamda aldıkları talepleri körü körüne takip etmekten kaçınmaları çok önemlidir” dedi.

Kaspersky, mobil tehditlerden korunmak için şu önerileri paylaşıyor:
• Uygulamaları yalnızca App Store, Google Play, Amazon Appstore veya diğerleri gibi resmi mağazalardan indirin. Bu marketlerdeki uygulamalar %100 güvenli değildir, ancak en azından kontrol edilirler ve bazı filtreleme sistemleri vardır. Her uygulama bu mağazalara giremez.
• Kullandığınız uygulamaların izinlerini kontrol edin ve özellikle metin mesajlarını okuma gibi yüksek riskli izinler söz konusu olduğunda yeni bir uygulamaya izin vermeden önce dikkatlice düşünün.
• Kötü amaçlı uygulamaları tespit edecek güvenilir bir güvenlik çözümü kullanın.