Corona/Covid-19 Mobil Tehdit Raporu



Corona/Covid-19 Mobil Tehdit Raporu

Bu rapor Corona/Covid-19 virüsü salgınının, dijital dünya üzerindeki etkilerinin incelenmesi sonucu oluşturulmuştur. Aralık 2019 tarihinde Çin Halk Cumhuriyeti’nin Wuhan kentinde başlayan ve kısa sürede tüm dünyaya yayılan Corona tipi Covid-19 virüsü tüm dünya üzerinde yankı uyandırmıştır.

Pek çok alanda kendisine yer bulan Corona virüsü bilişim ve teknoloji dünyasında da tehlikeli bir dijital salgına neden olmuştur. Saldırganların Corona virüs teması kullanarak sahte mobil uygulamalar aracılığı ile hedef odaklı ya da gelişi güzel saldırılar düzenlediği gözlemlenmiştir.

Yönetici Özeti

Corona/Covid19 virüsünün ortaya çıkışından itibaren dijital ortamlarda da ilgi giderek artmış kullanıcıların çevrimiçi olarak ilgili haberler, vaka sayısı ve içeriklere ulaşabileceği web ve mobil uygulamalar ortaya çıkmıştır. Oluşturulan uygulamaların sayısının giderek artması saldırganların Corona/Covid19 temasını kullanmasına zemin oluşturmuştur. CatchProbe Siber Tehdit İstihbaratı platformu ile elde ettiğimiz veriye göre özellikle Mart ayı içerisinde ilgili tema ile pek çok sayıda alan adı kayıt edildiği görülmüştür. Alan adı kayıtlarının detaylı bilgilerine “Dijital Corona Virüs Siber Tehdit İstihbaratı İnceleme Raporu-2” üzerinden ulaşılabilir.

Yapılan tespitler sonucu benzer popülaritenin mobil uygulamalar üzerinde de olduğu Mart ayı içerisinde Corona/Covid19 temalı birçok mobil uygulamanın çeşitli platformlar üzerinden yayımlandığı görülmüştür. IntelProbe uzmanları tarafından gerçekleştirilen teknik incelemeler ve gözlemler sonucu sahte mobil uygulamalarının varlıkları tespit edilmiş, gerçekleştirilen analizler sonucunda bazı mobil uygulamaların Corona/Covid19 ile ilgili bilgi sunarken arka tarafta zararlı işlemler gerçekleştirdiği görülmüştür. Gerçekleştirilen işlemler ile son kullanıcının istismar edilmeye çalışıldığı tespit edilmiştir. Kullanıcıların özellikle aktif ve devam eden oturum bilgileri çalınarak, kullanıcılar adına işlem yapılması hedeflenmiştir. Özellikle evden çalışılmanın yaygınlaşması, siber saldırganları iştahlandırdığı düşünülmektedir.

IntelProbe uzmanları tarafından gerçekleştirilen tespit, analiz ve değerlendirmeler ile içerisinde yerli bankalarının mobil uygulamalarının da hedef alındığı Türkçe içerikli kampanyalar görülmüştür. İlgili mobil tehdit detaylarına raporun teknik analiz kısmından ulaşılabilir.

Mobil Tehditler

Gerçekleştirilen istihbarat çalışmaları sonucu mobil uygulamalar üzerinde Corona/Covid19 ile ilgili birçok tehdit görülmüştür. Saldırganların bu temayı kullanarak mobil kullanıcıların kişisel bilgilerini çalmak için RAT zararlılarının sıkça kullanıldığı görülmüştür. Zararlının bulaştığı cihaza uzaktan erişim yapılabilmesi için kullanıldığı bilinmektedir.

Yapılan araştırmalar ve değerlendirmeler sonrasında sahte mobil uygulamaları kullanılarak kullanıcıların mobil cihazları üzerindeki önemli bilgilerin şifrelenerek fidye talep edildiği ve bu trendin 2020 yılı içerisinde önemli ölçüde devam edeceği öngörülmektedir. Tespit edilen ve önemli olarak görülen bazı zararlı mobil uygulamalar aşağıda tablo ile verilmiştir.

Gerçekleştirilen değerlendirme sırasında Corona Tracker / Corona Takip isimli mobil uygulamanın içerisinde özellikle bankaların hedef alındığı zararlı aktiviteler tespit edilmiştir. İçerisinde Türkiye Bankacılık uygulamalarının da bulunduğu pek çok şüpheli ve zararlı işlem için izin ve yetki isteyen mobil uygulamalar birçok ülkeyi hedef almıştır. Amerika Birleşik Devletleri, Rusya, Almanya, İtalya, Fransa, Ukrayna olarak tespit edilmiştir.

Yapılan tespitler sırasında mobil uygulamaların ortaya çıkma işlemleri arasında “Corona Virüs” temalı kayıt işlemlerinin giderek arttığı görülmüştür. İlgili mobil uygulamalarının tamamının olası siber saldırılar ile alakalı olmadığı fakat Corona/Covid-19 virüs temasının popülaritesinin giderek arttığı görülmüşüdür. Covid-19 salgını dolayısı ile kullanıcıların uzaktan/evden çalışma koşullarının ve mobil çalışma durumunun da hedef alınacağı tahmin edilmektedir.

Teknik Analiz

Gerçekleştirilen Corona/Covid-19 temalı mobil uygulamaların analizleri sırasında “Corona Takip” isimli uygulama üzerinde zararlı aktivitelerin olduğu görülmüştür. Uygulama açılır açılmaz kullanıcıdan “UYGULAMA AKTIFLESTIRME ONAYI” adı altında önemli izinler istemektedir. İlgili mobil uygulama incelemeleri sonrasında saldırganların son kullanıcıları hedef aldığı ve belirli bir gelir elde etme amacının olduğu düşünülmektedir. Corona/Covid-19 temasının kullanılması doğrultusunda başarının arttırılması hedeflenmiştir.

Kullanıcı üzerinden ilgili izinlerin beklenmesi sırasında döngü halinde https://aymyapi[.]com/o1o/a4.php ve https://aymyapi[.]com/o1o/a14.php adresleri ile iletişimi beklenmektedir.

İlgili adrese (C&C) POST işlemlerinin gerçekleştirildiği görülmüştür. Bu aktivitelerin zararlı olduğu ve bilgi göndermek amacı ile yapıldığı gözlemlenmektedir.

Gerçekleştirilen diğer incelemeler sırasında uygulama “decompile” edilmiş ve içerisinde pek çok yerli bankanın yer aldığı bir hedef listesi tespit edilmiştir.

Vakıfbank, Finansbank, Garanti BBVA, Akbank gibi bankaların bulunduğu tüm mobil erişim listesi aşağıdaki gibidir. Zararlı mobil uygulaması erişim listesinde bulunan uygulamaları takip etmekte ve bu uygulamalar üzerinden kişisel bilgileri çalmak için işlem gerçekleştirmektedir. Gerçekleştirilen işlemler içerisinde kişisel bilgileri çalmak için sahte ekran görüntüleme yeteneğinin mevcut olması da tespit edilmiştir.

Uygulama çalışıp, gerekli izinleri kullanıcı tarafından aldıktan sonra liste içerinde bulunan uygulamaları aramakta ve kullanıcıları kullandıkları ilgili uygulama üzerinden hedef almaktadır.

Sonuç

Corona/Covid-19 virüsü nedeni ile tüm dünya üzerinde acil durumda olan kullanıcılar, kurumlar ve organizasyonlar bilgiye dijital ortam üzerinden ulaşma eğilimindedir. Özellikle salgından korunmak amacı ile uzaktan çalışan kullanıcıların mobil olarak çalışmasından yararlanmaya çalışan saldırganlar, mobil uygulamalara yönelmiştir. Gerçekleştirilen işlemler ile kullanıcılıların istismar edilmeye çalışıldığı tespit edilmiştir. Kullanıcıların özellikle aktif ve devam eden oturum bilgileri çalınarak, kullanıcılar adına işlem yapılması hedeflenmiştir. Özellikle evden çalışılmanın yaygınlaşması, siber saldırganları iştahlandırdığı düşünülmektedir.

Saldırganlar oluşturdukları sahte mobil uygulamalar ile cihaz üzerindeki önemli bilgileri şifreleyerek fidye talep ettiği görülmüştür. Bu trendin 2020 yılı içerisinde önemli ölçüde devam edeceği öngörülmektedir.

Kullanıcılar mobil cihazları ile işlem yaparken bu tehditlere karşı dikkatli olmalıdırlar. Kullanıcıların korku, heyecan ve sevinç duygularının sömürülmesi için oluşturulan haber ve uygulamalara karşı dikkat edilmelidir. Güvenilir olmayan kaynaklardan temin edilen mobil uygulamalar kullanılmamalıdır.


İlginizi Çekebilecek Yazılar





İletişim | Gizlilik | Kullanım Koşulları