Google Play'de 20'den Fazla Kötü Amaçlı Uygulama, Kullanıcıları Tohum İfadeleri İçin Hedefliyor

Tehdit istihbarat şirketi Cyble'ın yakın zamanda yaptığı bir araştırma, Google Play Store üzerinden kripto para kullanıcılarını hedef alan ve 20'den fazla kötü amaçlı Android uygulaması içeren bir kampanya tespit etti.

SushiSwap, PancakeSwap, Hyperliquid ve Raydium gibi güvenilir kripto cüzdanları kisvesi altında gizlenen bu uygulamaların, kullanıcıların kripto para fonlarının kilidini açan anahtarlar olan 12 kelimelik hafıza ifadelerini topladığı tespit edildi.

Bu uygulamalar meşru cüzdan arayüzlerini taklit ederek kullanıcıları hassas kurtarma ifadeleri girmeye ikna eder. Girildikten sonra saldırganlar gerçek cüzdanlara erişebilir ve bunları boşaltabilir. Google, Cyble'ın raporunun ardından bu sahte uygulamaların çoğunu kaldırmış olsa da, bir avuç uygulama mağazada yayında kalmaya devam ediyor ve kaldırılmak üzere işaretlendi.

Cyble'ın Hackread.com ile paylaştığı rapora göre, sahte uygulamalar iyi bilinen kripto platformlarının adlarını ve simgelerini taşıyor ve oyunlar, video indiricileri ve akış araçları gibi daha önce gerçek uygulamalara ev sahipliği yapan geliştirici hesapları altında görünüyor. Bazıları 100.000'den fazla indirmeye sahip olan bu hesapların ele geçirildiği ve kötü amaçlı uygulamaları dağıtmak için yeniden kullanıldığı görülüyor.

Birçok durumda, uygulamalar kimlik avı web sitelerini hızla Android uygulamalarına dönüştürmek için "Median framework" olarak bilinen bir geliştirme aracı kullanır. Uygulamalar bu kimlik avı sayfalarını doğrudan bir WebView'in içine yükler, gömülü bir tarayıcı penceresi, cüzdan erişimi kisvesi altında kullanıcılardan ezber cümlelerini ister.

Kampanya yalnızca ölçek olarak yaygın değil, aynı zamanda altyapısında da koordineli. Cyble tarafından bulunan bir kimlik avı alan adı, cüzdan güvenliğini tehlikeye atma yönündeki aynı daha geniş çabanın bir parçası olan 50'den fazla benzer alan adına bağlandı.

Cyble araştırmacıları ayrıca bu sahte uygulamaların nasıl çalıştığına dair bir kalıp fark ettiler. Birçoğu gizlilik politikalarında kullanıcıların cüzdan kurtarma ifadelerini çalmak için tasarlanmış kimlik avı web sitelerine yönlendiren bağlantılar içeriyor. Uygulamalar ayrıca benzer adlandırma stillerini takip etme eğilimindedir, bu da bunları hızlı bir şekilde oluşturmak ve yayınlamak için otomatik araçların kullanıldığına işaret eder.

Üstelik, birkaç uygulama aynı sunuculara veya web sitelerine bağlı ve bu da daha büyük, organize bir çabanın parçası olduklarını gösteriyor. Bu uygulamalara bağlı sahte alan adlarından bazıları şunlardır:

• bullxnisbs
• hyperliqwsbs
• raydifloydcz
• sushijamessbs
• pancakefentfloydcz

Bu alan adları çeşitli cüzdan sağlayıcılarını taklit eder ve kullanıcıları tohum ifadelerini vermeleri için kandırmayı amaçlayan sayfalar sunar. Bu arada, Cyble'ın izniyle kötü amaçlı uygulamaların kısmi listesi aşağıda mevcuttur:

1. Raydyum
2. Suşi Değişimi
3. Suit Cüzdan
4. Hiper sıvı
5. BullX Kripto
6. Krep Takası
7. Meteora Değişimi
8. OpenOcean Borsası
9. Hasat Finans Blogu

Uygulamaları kaldırma çabalarına rağmen kampanya devam ediyor. Bu rapora göre, birkaçı Play Store'da aktif durumda. Bu uygulamaların hazır çerçeveler kullanılarak hızlı bir şekilde çoğaltılması, saldırganların hızla engellenmezse daha fazla sahte uygulama üretebileceğini gösteriyor.

Bu ciddi bir risk teşkil eder. Geleneksel bankacılığın aksine, kripto hırsızlığı için bir güvenlik ağı yoktur. Bir cüzdan boşaltıldığında, fonların kurtarılması neredeyse imkansızdır.

Cyble, güvenlik uzmanlarının engelleme veya daha fazla araştırma yapmak için kullanabilecekleri uygulama adları, paket tanımlayıcıları ve kimlik avı alan adları gibi ayrıntılı tehlike göstergelerini (IOC'ler) paylaştı.

Bu kampanya, saldırganların uygulama mağazaları gibi resmi kanallar aracılığıyla zaten savunmasız olan kripto alanını nasıl hedef almaya devam ettiğini göstermeye devam ediyor. Uygulama platformları kötü amaçlı yüklemeleri yakalamak için çalışırken, kullanıcılar bu siber güvenlik tehditlerinin alıcı tarafında kalmaya devam ediyor. Bu nedenle, kullanıcıların dikkatli olmaları ve kendilerini korumak için şu adımları izlemeleri önerilir:

Düşük yorum sayısı, yakın zamanda yeniden yayınlanan uygulamalar veya gizlilik politikalarında garip alan adlarına bağlantılar gibi kırmızı bayraklara dikkat edin.

• Gereksiz uygulamaları indirip kurmaktan kaçının.

• Potansiyel olarak zararlı uygulamaları belirlemeye yardımcı olması için Google Play Protect'i etkinleştirin.

• Mümkün olduğunda biyometrik güvenlik ve iki faktörlü kimlik doğrulamayı kullanın.

• Üçüncü taraf ve resmi mağazalardan uygulama indirirken her zaman dikkatli olun.

• 12 kelimelik cümlenizi, meşru olduğundan emin olmadığınız sürece hiçbir uygulamaya veya web sitesine girmeyin.