Kaspersky, daha evvel çoğunlukla Asya bölgelerini hedefleyen Roaming Mantis isimli makus niyetli bir operasyonun Almanya ve Fransa’daki yeni …
Kaspersky, daha evvel çoğunlukla Asya bölgelerini hedefleyen Roaming Mantis isimli makus niyetli bir operasyonun Almanya ve Fransa’daki yeni gayeleri etkin olarak smishing (kısa iletiyle yapılan phishing) yoluyla enfekte ettiğini keşfetti. Operasyonun gerisindeki aktör, amaçların özel bilgilerini toplamak ve paralarını çalmak için taşınabilir makûs hedefli yazılımları ve kimlik avı sayfalarını yayıyor. Etkilenen aygıt daha sonra kullanıcının kişi listesini ve öteki kaynakları kullanarak bir sonraki amaç kümesine SMiShing bildirileri gönderiyor.
Nisan 2018’de Kaspersky araştırmacıları Roaming Mantis’i birinci sefer keşfetti. O vakitler siber hatalılar sırf Android akıllı telefonları hedefliyordu ve çoğunlukla Asya bölgelerini (Güney Kore, Bangladeş ve Japonya) gaye alıyordu. Operasyon kısa müddette değerli ölçüde gelişti ve 2018’den beri kimlik avı, madencilik, smishing ve DNS ele geçirme üzere çeşitli taarruz sistemlerinde kullanılır oldu. Grup artık ana maksat bölgelerine Avrupa ülkelerini de ekleyerek coğrafyasını genişletti.
Genel olarak smishing iletileri çok kısa bir açıklama ve bir açılış sayfasının URL’sini içerir. Kullanıcı ilişkiyi tıklar ve açılış sayfasına girerse, Roaming Mantis operasyonu iki senaryodan birini sürece alır. Birinci senaryoda kişi iOS kullanıcısıysa, resmi Apple web sitesini taklit eden bir kimlik avı sayfasına yönlendirilir ve kimlik bilgilerini girmeleri istenir. İkinci senaryoda smishing iletisindeki irtibata tıklandıktan sonra Android aygıta berbat gayeli yazılım bulaşır. Akabinde saldırgan hem kullanıcının kişi listesinden hem de oluşturulan telefon numaralarından virüslü aygıt aracılığıyla yeni gayelere SMiShing iletileri göndermeye başlar. Ferdî bir irtibat kanalı olarak SMS metinleri, kullanıcılar çoklukla tanıdıklarından berbat niyetli bir ileti almayı beklemediklerinden kişinin tehditlere karşı savunmasını da doğal olarak düşürür. Fransa ve Almanya’da hem iOS hem de Android kullanıcılarına yönelik bu operasyon o kadar popülerdi ki, polis ve mahallî medya SMiShing ikazları yayınladı.
Saldırgan, bir kimlik avı sayfasını ilgili lisanda görüntülemek için virüslü Android aygıtının bölgesini denetim edecek şekilde bir özellik kuruyor. Bu özellik evvelki sürümlerde sadece üç bölgeyi denetim etmek için kullanılıyordu: Hong Kong, Tayvan ve Japonya. Kaspersky uzmanları, yük kısmının en son sürümünde bir güncelleme gözlemledi ve Almanya ve Fransa’nın yeni bölgeler olarak eklendiğini keşfetti. Maksatların ana lisanını kullanmak, aktörün kullanıcının karar verme sürecini manipüle etmesine müsaade veriyor ve onları şahsî bilgilerini ve banka detaylarını paylaşmaya ikna ediyor.
Evvelki sürümlerle karşılaştırıldığında art kapı komutlarında yeni bir değişiklik göze çarptı. Geliştirici virüslü aygıtlardan fotoğraf çalmak için art kapı komutları ekledi, fakat çalınan fotoğrafları tam olarak nasıl kullandığına dair bilgi şimdi bulunamadı. Fakat siber hatalıların şantaj yoluyla para koparmak için ferdî fotoğrafları kullandığı bir gerçek.
Kaspersky Global Araştırma ve Tahlil Grubu (GReAT) Kıdemli Güvenlik Araştırmacısı Suguru Ishimaru, şunları söylüyor: “Roaming Mantis son beş yılda etkin olarak gelişti. Atak için yeni yollar bulmanın yanı sıra hedeflenen ülkelerin sayısını genişletti. Bilhassa saldırganın kurbanların fotoğraflarını kullanmasına müsaade veren yeni art kapı özelliklerinin ortaya çıkmasıyla birlikte, güçlü finansal motivasyonun da tesiriyle bu akınların 2022’de devam edeceğini varsayım ediyoruz. Dünyanın her yerindeki kullanıcıları inançta tutmak için daima olarak en son Roaming Mantis aktifliğini araştırıyor ve rapor ediyoruz.”
Roaming Mantis kısım VI hakkındaki raporun tamamını Securelist’te okuyabilirsiniz.
Roaming Mantis smishing hücumlarından korunmak için Kaspersky aşağıdakileri öneriyor:
Kaynak: (BHA) – Beyaz Haber Ajansı
