İçeriğe geçmek için "Enter"a basın

İki Kademeli Kimlik Doğrulama Atlatan Android Zararlı Yazılımı: BtcTurk

Güvenlik araştırmacısı Lukas Stefanko, Android uygulamalarında SMS olarak gönderilen iki kademeli kimlik doğrulama mesajını çalabilen bir zararlı yazılım keşfetti.

Enfekte olmuş uygulamalar SMS ve e-posta olarak gönderilen tek seferlik parolalara (OTP – one time password) erişebiliyor ve herhangi bir ekstra izne ihtiyaç duymuyor. Hedef cihazdan tek seferlik parolanın çalınmasının ardından bu parola mesajları derhal gizleniyor ve böylece kullanıcılar durumun farkında olmuyor ve şüphelenmiyor.

Bu uygulamalar bir Türk kripto para borsası BtcTurk gibi görünmek üzere tasarlanmış ve oltalama saldırılarını kullanarak BtcTurk borsasının giriş bilgilerini elde edip, cihaz ekranında bildirim olarak çıkan tek kullanımlık parolayı da cihazın üzerinden çalıyor.

Böyle bir uygulamanın Google Play’de ilk olarak görülmesi 7 Haziran 2019 tarihinde ve BTCTurk Pro Beta ismiyle çıkmış. Uygulama geliştirici ismi olarak da BTCTurk Pro Beta görülüyor.

Aradan 4 gün geçtikten sonra benzeri bir uygulama daha Google Play’de ortaya çıkıyor. Aynı platform ancak bu defa uygulama geliştiricinin adı BtSoft olmuş.

2 uygulamanın ortak özelliği yüklendikten sonra ilk olarak istedikleri “Bildirim Erişimi” ve bu erişim sayesinde diğer uygulamalardan gelen bildirimleri okuyabiliyor, silebiliyor ve farklı uygulamalara müdahale edebiliyorlar. Ardından sahte bir giriş ekranı ile kullanıcıların BtcTurk’e girebilmesi için kullanıcı bilgilerini girmesini istiyorlar. Bu bilgiler direkt olarak saldırganın sunucusuna gönderiliyor ve kullanıcının telefon ekranında Türkçe olarak sahte bir hata mesajı çıkıyor.

Google bu yıl Mart ayından beri Play Store’da yer alan uygulamaların tek seferlik parolalara erişimini kısıtlıyor ve özellikle gerekmediği halde hassas verilere erişim isteyen uygulamalara sınırlandırmalar getiriyor. İki kademeli kimlik doğrulama kodlarının daha güçlü bir korumaya sahip olması için Google’ın uyguladığı politikaya rağmen siber suçlular bu kısıtlamayı atlatmanın ve SMS ve e-posta yoluyla gönderilen tek kullanımlık parolaları elde etmek için doğrudan bildirimlere erişebilen uygulamaları Play Store’a yüklemenin bir yolunu bulabilmiş.

Yeni 2FA (iki kademeli kimlik doğrulama) Aşma Tekniği

Uygulama açıldıktan sonra kullanıcıdan bildirim erişimi izni ister. Bu izin, zararlı uygulamaya cihazda yüklü olan diğer uygulamalara ait bildirimleri okuma, reddetme ve bildirimlerdeki butonlara tıklayabilme gibi ayrıcalıklar verir.

Kullanıcı bildirimlere erişimi izni verdiğinde BtcTurk’e giriş için sahte bir giriş formu görüntülenir.

Bilgiler girildikten sonra “Opss! SMS Doğrulama sisteminde yapılan değişiklik nedeniyle mobil uygulamamızdan geçici bir süreliğine hizmet verememekteyiz. Bakım çalışması sonrası uygulama üzerinden sizlere bildirim gönderilecektir. Anlayışınız için teşekkür ederiz.” şeklinde bir hata mesajı gösterilir. Bu esnada bilgiler saldırganın sunucularına iletilmiş olur.

Bildirimlere erişim izni ve oluşturulan filtreler sayesinde “gm, yandex, mail, k9, outlook, messaging” gibi anahtar kelimeleri içeren uygulamaların oluşturduğu bildirimler saldırgan tarafından okunabilir. Bu anahtar kelimeleri içeren uygulamalardan gelen tüm bildirimler yine saldırganın sunucularına gönderilir.

Ayrıca zararlı uygulama bildirim seslerini sessize alma ve gelen bildirimleri temizleme gibi ayrıcalıklarada sahip olduğu için saldırgan tüm bu işlemleri kurbanına fark ettirmeden gerçekleştirebilir.

İki kademeli kimlik doğrulama mesajları genelde kısa olduğu için saldırganın amacına ulaşması mümkündür.

Yine WeLiveSecurity tarafından henüz yeni keşfedilen ve aynı kişiler tarafından piyasaya sürüldüğü tahmin edilen “Koineks” adlı başka zararlı bir uygulama saldırganların en iyi sonuçları elde etmek için bu teknik üzerinde çalıştığını göstermektedir.

Korunmak için ne yapabiliriz?

  • Eğer cihazınızda zararlı bir yazılımın yüklü olduğundan şüpheleniyorsanız, hemen kaldırın. Ardından tüm hesaplarınızın parolalarını değiştirmeyi unutmayın ve hesaplarınız üzerinden şüpheli etkinlik gerçekleştirip gerçekleştirilmediğini kontrol edin.
  • Finansal uygulamaları yalnızca o hizmeti verdiği iddia edilen kuruluşun resmi internet sitesinden indirin.
  • Cihazınızın güncelleştirme kontrollerini düzenli olarak gerçekleştirin.
  • Bu tür tehditleri engellemek ve korunmanızı üst düzeye çıkarmak için en son tehditleri tanımlayabilen bir antivirüs yazılımı kullanın.
  • Eğer imkanınız varsa kısa mesaj yerine donanım tabanlı doğrulama faktörlerini tercih edin.
  • Cihazlarınızda yalnızca güvenliği olduğunu düşündüğünüz uygulamaları kullanın ve uygulamaların istedikleri erişim izinlerine dikkat edin.
  • Uygulamaları indirmek için yalnızca güvenilir olan kaynakları kullanın.
  • Güvenilir olan kaynaklardan uygulama indirirken bile zararlı yazılım olabileceği ihtimalini hiçbir zaman aklınızdan çıkarmayın.
  • Saldırganların en son tekniklerinden olmak için gündemi sürekli takip edin.

Araştırmaya konu olan zararlı uygulamalar: btcturk.probeta, com.app.btsoft.app, com.app.elipticsof.app, com.koinks.mobilpro

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir