Kötü Amaçlı Uygulamaların iOS ve Android Güvenlik Önlemlerini Aşmasına İzin Veren Yeni Yöntem Phisher’lar, iOS ve Android kullanıcılarını, Apple ve Google tarafından yetkisiz uygulamaları engellemek amacıyla oluşturulan güvenlik önlemlerini aşarak kötü amaçlı uygulamalar yüklemeye ikna etmek için yeni bir teknik kullanıyor.
Her iki mobil işletim sistemi de, kullanıcıların kişisel bilgilerini, şifrelerini veya diğer hassas verilerini çalan uygulamalardan uzak durmalarına yardımcı olacak mekanizmalar sunar. iOS, App Store dışında herhangi bir uygulamanın yüklenmesini yasaklayan bir “Çevrili Bahçe” yaklaşımını benimserken, Android varsayılan olarak yalnızca Google Play’de bulunan uygulamalara izin verir. Başka pazarlardan uygulama yükleme (sideloading) ise manuel olarak etkinleştirilmelidir ve Google bu konuda uyarılarda bulunur.
Yerel Uygulamalar Görünümünde Kötü Amaçlı Uygulamalar Son dokuz aydır dolaşan phishing kampanyaları, bu korumaları atlatmak için daha önce görülmemiş yollar kullanıyor. Amaç, hedefleri, hedeflerinin bankalarından gelen resmi bir uygulama gibi görünen kötü amaçlı bir uygulamayı yüklemeye ikna etmektir. Uygulama yüklendiğinde, hesap kimlik bilgilerini çalar ve bu bilgileri anında Telegram üzerinden saldırgana iletir.
ESET güvenlik firması analisti Jakub Osmani, salı günü yaptığı açıklamada, “Bu teknik dikkat çekicidir çünkü kullanıcıların üçüncü taraf uygulama yükleme izni vermeden bir üçüncü taraf web sitesinden phishing uygulaması yüklemelerine olanak tanır,” dedi. “iOS kullanıcıları için bu tür bir eylem, güvenlik hakkındaki ‘çevrili bahçe’ varsayımlarını yıkabilir. Android’de, bu, daha ayrıntılı bir inceleme yapıldığında Google Play Store’dan yüklenmiş gibi görünen özel bir APK’nın sessizce yüklenmesiyle sonuçlanabilir.”
Bu yeni yöntem, hedefleri, Progressive Web App (PWA) olarak bilinen özel bir uygulama türünü yüklemeye teşvik etmeyi içerir. Bu uygulamalar, yerel uygulamalarla aynı hissiyatı ve davranışı sunan işlevleri sağlamak için yalnızca Web standartlarına dayanır ve bunlarla birlikte gelen kısıtlamalardan muaf tutulur. Web standartlarına olan bağımlılık, PWA’ların teorik olarak standartlara uygun bir tarayıcı çalıştıran herhangi bir platformda çalışacağı anlamına gelir ve böylece iOS ve Android’de eşit derecede iyi çalışırlar. Yüklendikten sonra kullanıcılar, PWA’ları ana ekranlarına ekleyebilir ve bu da onlara yerel uygulamalara çarpıcı bir benzerlik kazandırır.
PWAs hem iOS hem de Android’de uygulanabilirken, Osmani’nin yazısında PWA terimi iOS uygulamaları ve WebAPK terimi Android uygulamaları için kullanılmıştır.
Saldırı, hedefe gönderilen bir kısa mesaj, otomatik arama veya Facebook ya da Instagram’da yayımlanan kötü amaçlı bir reklamla başlar. Hedefler, dolandırıcılık mesajındaki bağlantıya tıkladıklarında, App Store veya Google Play’e benzer görünen bir sayfa açarlar.
ESET’ten Osmani şöyle devam etti:
Buradan itibaren, kurbanlardan bankacılık uygulamasının “yeni bir sürümünü” yüklemeleri istenir; bunun bir örneği Şekil 2’de görülebilir. Kampanyaya bağlı olarak, yükle/güncelleme düğmesine tıklamak, kurbanın telefonuna doğrudan bir WebAPK (yalnızca Android kullanıcıları için) veya iOS ve Android kullanıcıları için bir PWA biçiminde kötü amaçlı bir uygulama yüklemesini başlatır (eğer kampanya WebAPK tabanlı değilse). Bu kritik yükleme adımı, geleneksel tarayıcı uyarılarını atlatır: bu, saldırganlar tarafından kötüye kullanılan Chrome’un WebAPK teknolojisinin varsayılan davranışıdır.
Bu süreç, iOS kullanıcıları için biraz farklıdır; kurbanlara phishing PWA’yı ana ekrana nasıl ekleyeceklerini anlatan bir animasyonlu pop-up gösterilir (Şekil 3’e bakınız). Pop-up, yerel iOS istemlerini taklit eder. Sonuç olarak, iOS kullanıcıları, telefonlarına potansiyel olarak zararlı bir uygulama ekleme konusunda uyarılmaz.
Yükleme işleminden sonra, kurbanlardan yeni mobil bankacılık uygulaması aracılığıyla hesaplarına erişmek için internet bankacılığı kimlik bilgilerini girmeleri istenir. Girilen tüm bilgiler, saldırganların komuta ve kontrol sunucularına gönderilir.
Bu teknik, WebAPK’lerle ilişkili uygulama bilgileri Google Play’den yüklendiklerini ve sistem ayrıcalıklarına sahip olmadıklarını gösterdiği için daha da etkili hale gelir.
ESET, şimdiye kadar bu tekniğin çoğunlukla Çekya, daha az da Macaristan ve Gürcistan’daki banka müşterilerine karşı kullanıldığını biliyor. Saldırılar, iki farklı komuta ve kontrol altyapısını kullanarak gerçekleştirildi ve bu, iki farklı tehdit grubunun bu tekniği kullandığının bir göstergesi.
Osmani, “Bu uygulamanın daha fazla kopyasının oluşturulmasını ve dağıtılmasını bekliyoruz çünkü yüklendikten sonra meşru uygulamaları phishing uygulamalarından ayırmak zor,” dedi.