ESET, Kripto Para Çalan Sahte WhatsApp ve Telegram Uygulamaları Tespit Etti

tarihinde gönderilmiş tarafından

ESET araştırmacıları, WhatsApp ve Telegram uygulamalarının truva atı gizlenmiş sürümleri ile bilhassa Android ve Windows kullanıcılarını hedef alan mevzubahis anlık mesajlaşma uygulamalarına ait düzinelerce taklitçi web sitesi belirleme etti. Tespit edilen fena niyetli uygulamaların çoğu, pano içeriklerini çalan ya da değiştiren, fena niyetli bir tatbik türü olan clipper yazılımlarından oluşuyor. Söz mevzusu yazılımların tümü, kurbanların kripto paralarını çalmaya çalışırken bazıları ise kripto para cüzdanlarını hedef alıyor. ESET Research, ilk kez bilhassa anlık mesajlaşma uygulamalarını hedef alan Android tabanlı clipper yazılımları belirleme etti. Ayrıca bu uygulamaların bazıları, güvenliği ihlal edilmiş cihazlarda kayıtlı monitör görüntülerinden metin çıkarmak için optik karakter tanımlama (OCR) kullanıyor. Bu durum, Android tabanlı fena niyetli yazılımlar için bir diğer ilki oluşturuyor.

Taklitçi uygulamalarda kullanılan dil incelendiğinde, bu yazılımları kullanan kişilerin bilhassa Çince konuşan kullanıcıları hedef almış olduğu ortaya çıktı. Çin’de, hem Telegram’ın hem de WhatsApp’ın sırayla 2015 ve 2017 yıllarından itibaren kullanılması yasak olduğu için bu programları kullanmak isteyen kişiler, bilvasıta yollara başvurmak zorunda kaldı. Söz mevzusu tehdit aktörleri, öncelikle düzmece YouTube kanallarına yönlendiren Google Ads’i kurdu ve sonrasında kullanıcıları taklitçi Telegram ve WhatsApp web sitelerine yönlendirdi. ESET Research, mevzubahis düzmece reklamları ve alakalı YouTube yayınlarını Google’a yakınma etti ve Google da bu reklam ve kanalların tümünün kullanımına derhal son verdi.

Truva atı gizlenmiş programları belirleme eden ESET araştırmacısı Lukáš Štefanko bu mevzuyla alakalı şunları söyledi: “Tespit ettiğimiz clipper yazılımlarının aslolan amacı kurbanın mesajlarını ele geçirip gönderilen ve alınan kripto para cüzdan adreslerini saldırgana ait adreslerle değiştirmek. Truva atı gizlenmiş Android tabanlı WhatsApp ve Telegram uygulamalarının yanı sıra, aynı uygulamaların truva atı gizlenmiş Windows versiyonlarını de belirleme ettik.”

Bu uygulamaların truva atı gizlenmiş sürümleri, aynı amaca hizmet etmelerine karşın değişik özelliklere sahip. İncelenen Android tabanlı clipper yazılımları, kurbanın cihazında depolanan monitör görüntüleri ile fotoğraflardaki metinleri okumak için OCR kullanan ilk Android temelli fena niyetli tatbik olma hususi durumunu taşıyor. OCR, anahtar cümleyi bulup çalmak için kullanılıyor. Anahtar cümle ise kripto para cüzdanlarını kurtarmak için kullanılan bir takım kelimeden oluşan anımsatıcı kod anlamına geliyor. Kötü amaçlı aktörler, anahtar cümleyi ele geçirir geçirmez direkt olarak alakalı cüzdandaki bütün kripto paraları çalabiliyor.

Kötü amaçlı yazılım, kurbanın kripto para cüzdan adresini saldırganın söyleşi adresi ile değiştiriyor. Bunu da ya direkt olarak tatbik içinde bulunan ya da saldırganın sunucusundan hareketli olarak ele geçirilen adreslerle yapıyor. Ayrıca mevzubahis yazılım, kripto paralarla alakalı muayyen anahtar kelimeleri belirleme etmek için Telegram mesajlarını izliyor. Yazılım, bu tür bir anahtar kelimeyi belirleme etmiş olduğu anda bütün mesajı saldırganın serverına iletiyor.

ESET Research, uzaktan erişim truva atları (RATs) içeren Windows tabanlı Telegram ve WhatsApp yükleyicilerinin yanı sıra mevzubahis cüzdan adresi değiştiren clipper yazılımlarının Windows versiyonlarını de belirleme etti. Uygulama modelinden yola çıkarak Windows tabanlı fena niyetli paketlerden birinin clipper yazılımlardan değil kurbanın sisteminin kontrolünü tümden ele geçirebilen RATs’lerden oluştuğu keşfedildi. Böylece mevzubahis RATs’ler, tatbik akışını ele geçirmeden kripto para cüzdanlarını çalabiliyor.

Lukáš Štefanko bu hususta şu tavsiyelerde bulundu: “Uygulamaları Google Play Store gibi sadece güvenilir ve sağlam kaynaklardan yükleyin ve mühim detayları içeren şifrelenmemiş resimleri ya da monitör görüntülerini cihazınızda depolamayın. Cihazınızda truva atı gizlenmiş Telegram ya da WhatsApp uygulaması bulunduğunu düşünüyorsanız bu programları manuel olarak cihazınızdan kaldırın ve uygulamayı ya Google Play üstünden ya da direkt olarak yasal web sitesi üstünden indirin. Windows tabanlı cihazınızda fena niyetli Telegram uygulaması olmasından şüpheleniyorsanız tehdidi belirleme ederek kaldıran bir emniyet çözümü kullanın. Windows için WhatsApp’ın tek resmi versiyonu şu anda Microsoft mağazasında mevcut.”