Kaspersky Global Araştırma ve Analiz Ekibi, Android kullanıcılarını hedef alan yeni bir kötü niyetli kampanya tespit etti. Bu kampanya, sahte düğün davetiyeleri aracılığıyla kullanıcıları, Kaspersky tarafından "Tria Stealer" olarak adlandırılan kötü amaçlı bir uygulamayı indirmeye ikna ediyor. Uygulama, kurbanların kısa mesaj ve e-postalarındaki içerikleri diğer verilerle birlikte saldırganlara iletiyor. Bunun yanı sıra, cihaz sahiplerinin WhatsApp ve Telegram hesaplarını ele geçirerek, aile ve arkadaşlarından para istemek için kullanıyor. SMS mesajlarının ele geçirilmesi, saldırganların farklı uygulama veya hizmetlerdeki hesaplara erişim sağlamak için OTP giriş kodları talep etmelerine ve bunu ele geçirilmiş mesajlardan okumalarına olanak tanıyor.

Android cihazlarda kullanıcılar, uygulamaları resmi uygulama mağazaları olan Google Play'i atlayarak doğrudan APK dosyası şeklinde yükleyebiliyor. Bu durum bazı koşullarda kullanışlı olabilse de, aynı zamanda siber suçlular tarafından kötü amaçlı yazılım yaymak için de kullanılabiliyor. Özellikle "Tria Stealer" uygulaması, Telegram ve WhatsApp üzerinden kişisel ve grup sohbetleri aracılığıyla bir APK yükleme dosyası olarak dağıtılıyor. Saldırganlar, alıcıları sahte bir düğüne davet etmek için sosyal mühendislik kullanıyor ve davetiyeyi görüntülemek için APK'yı yüklemelerini istiyor.

Uygulama yüklendikten sonra, metin mesajlarını okuma ve alma, cihaz durumu, arama günlüklerini izleme gibi hassas verilere ve işlevlere erişim sağlıyor. Yüklenen kötü amaçlı yazılım, sistem düzeyinde uyarılar görüntüleme, arka planda çalışma ve cihazın yeniden başlatılmasından sonra otomatik olarak başlama gibi eylemler gerçekleştirme yeteneklerine de sahip. Bu izinler, saldırganlara kurbanların mesaj ve e-postalarını çalmak için bildirilerine müdahale etme imkanı sunuyor. Uygulama, kurbanı isteklerin ve uygulamanın kendisinin meşru olduğuna ikna etmek için dişli simgesine sahip bir sistem ayarları uygulamasını taklit ediyor.

Kullanıcıdan ayrıca telefon numarasını girmesi isteniyor ve bu numara, cihazın marka ve modeli ile birlikte saldırganlara gönderiliyor. Ele geçirilen tüm veriler, Telegram botları aracılığıyla saldırganlara aktarılıyor. Kaspersky GReAT Güvenlik Araştırmacısı Fareed Radzi, "Bu kötü amaçlı uygulama, kampanya örneklerinde bulunan benzersiz metin dizilerine dayanarak Kaspersky tarafından 'Tria Stealer' olarak adlandırıldı. Araştırmamız, bu yazılımın muhtemelen Endonezya dilini konuşan tehdit aktörleri tarafından işletildiğini gösteriyor. Çünkü içerik içinde Endonezya dilinde yazılmış eserler bulduk. Yani kötü amaçlı yazılıma gömülü birkaç benzersiz dizge ve saldırganlar tarafından kullanılan Telegram botlarının adlandırma modeli böyleydi," şeklinde açıklamalarda bulundu. Radzi, bu tür hırsızlıkların ciddi mali kayıplara ve gizlilik ihlallerine yol açabileceğini belirterek bireylerin ve kurumsal kullanıcıların her zaman dikkatli olmaları gerektiğinin altını çizdi.

Kaspersky, mobil tehditlerden korunmak için kullanıcıların aşağıdaki önlemleri almasını öneriyor:

  • Uygulamaları yalnızca App Store, Google Play, Amazon Appstore gibi resmi mağazalardan indirin. Bu mağazalardaki uygulamalar %100 güvenli olmasa da, en azından kontrol edilirler ve bazı filtreleme sistemlerine sahiptir. Her uygulama bu mağazalara giremez.
  • Kullandığınız uygulamaların izinlerini kontrol edin. Özellikle metin mesajlarını okuma gibi yüksek riskli izinler söz konusu olduğunda, yeni bir uygulama için izin vermeden önce dikkatlice düşünün.
  • Kötü amaçlı uygulamaları tespit edecek güvenilir bir güvenlik çözümü kullanın.