Çok eski bir web tarayıcısı kullanıyorsunuz. Bu veya diğer siteleri görüntülemekte sorunlar yaşayabilirsiniz.. Tarayıcınızı güncellemeli veya alternatif bir tarayıcı kullanmalısınız.
Google Play Store'daki yüzlerce uygulamayı kullanarak çok sayıda kötü niyetli faaliyet gerçekleştiren "büyük çaplı bir reklam dolandırıcılığı operasyonu"nun ayrıntıları ortaya çıktı.
Kampanya, Rusya merkezli CaramelAds adlı bir reklam ağıyla ilişkili bir mobil reklam yazılım geliştirme kitinin kötüye kullanılması nedeniyle Rusçada Şeker anlamına gelen Konfety kod adını aldı .
HUMAN'ın Satori Tehdit İstihbarat Ekibi , The Hacker News ile paylaştığı teknik raporda , "Konfety, tehdit aktörlerinin büyük pazar yerlerinde bulunan 'sahte ikiz' uygulamalarının 'kötü ikiz' versiyonlarını çalıştırdığı yeni bir dolandırıcılık dedi .
Sayıları 250'yi aşan sahte uygulamalar zararsız olan Google Play Store üzerinden dağıtılırken, kötü ikiz sahte uygulamalar reklam dolandırıcılığını yapmak, tarayıcı aramalarını izlemek, tarayıcı uzantıları yüklemek ve APK uzantılı dosya kodlarını kullanıcıların cihazlarına yüklemek için tasarlanmış bir kötü amaçlı reklam kampanyası yoluyla yayılıyor.
Kampanyanın en sıra dışı yönü, kötü ikizin sahte ikiz gibi davranarak ikincisinin uygulama kimliğini ve reklam yayıncısı kimliklerini reklamları sunmak için taklit etmesidir.
Bununla birlikte, aldatmaca uygulamaları normal şekilde davranmakla kalmıyor, birçoğu reklam bile göstermiyor.
"Bu 'aldatmaca/kötü ikiz' karartma mekanizması, tehdit aktörlerinin hileli trafiği meşru olarak göstermeleri için yeni bir yoldur," dedi HUMAN araştırmacıları. "En üst noktasında, Konfety ile ilgili programatik hacim günde 10 milyar isteğe ulaştı."
Başka bir deyişle, Konfety, kötü amaçlı trafiği meşru trafikten ayırt etmeyi çok daha zor hale getirerek reklam dolandırıcılığı yapmak için SDK'nın reklam oluşturma yeteneklerinden yararlanıyor.
Konfety'nin kötü ikiz uygulamalarının, APK modlarını ve Letasoft Sound Booster gibi diğer yazılımları tanıtan bir kötü amaçlı reklam kampanyası yoluyla yayıldığı, tuzaklı URL'lerin saldırganların kontrolündeki alan adlarında, güvenliği ihlal edilmiş WordPress sitelerinde ve Docker Hub, Facebook, Google Sites ve OpenSea gibi içerik yüklemelerine izin veren diğer platformlarda barındırıldığı söyleniyor. Bu URL'lere tıklayan kullanıcılar, onları kötü niyetli ikiz uygulamayı indirmeye kandıran bir etki alanına yönlendiriliyor; bu da APK dosyasının varlıklarından şifresi çözülen ve komut ve kontrol iletişimlerini kurmak için kullanılan ilk aşama için bir damlalık görevi görüyor.
Dolandırıcı, Uygulamanın simgesini cihazın ana ekranından gizlemeye çalışır ve kullanıcı ana ekranındayken veya başka bir uygulama kullanırken tam ekran video reklamları sunarak dolandırıcılık yapan ikinci aşamada DEX çalıştırır.
"Bu uygulamalar, uygulama kimliklerini/paket adlarını ve yayıncı kimliklerini sahte ikiz uygulamalardan kopyalayarak karşılık gelen sahte ikiz uygulamalarını taklit ediyor."
"Kötü ikiz uygulamalarından elde edilen ağ trafiği, işlevsel olarak sahte ikiz uygulamalarından elde edilen ağ trafiğiyle aynıdır; kötü ikizler tarafından oluşturulan reklam gösterimleri, istekteki sahte ikizlerin paket adını kullanır."
Yazılımın diğer yetenekleri arasında web tarayıcısını kullanarak web sitelerini ziyaret etmek, kullanıcıları sahte bağlantılara tıklamaya yönlendiren bildirimler göndererek kandırmak veya diğer reklam SDK'lerinin değiştirilmiş sürümlerini yüklemek yer alıyor.
Hepsi bu kadar değil. Evil Twins uygulamalarını yükleyen kullanıcılardan, cihaz ana ekranına, vptrackme.com ve youaresearching.com adlı etki alanlarına veri göndererek aramalarını gizlice izleyen bir arama araç çubuğu widget'ı eklemeleri isteniyor.
Google Play Store'daki yüzlerce uygulamayı kullanarak çok sayıda kötü niyetli faaliyet gerçekleştiren "büyük çaplı bir reklam dolandırıcılığı operasyonu"nun ayrıntıları ortaya çıktı.
Kampanya, Rusya merkezli CaramelAds adlı bir reklam ağıyla ilişkili bir mobil reklam yazılım geliştirme kitinin kötüye kullanılması nedeniyle Rusçada Şeker anlamına gelen Konfety kod adını aldı .
HUMAN'ın Satori Tehdit İstihbarat Ekibi , The Hacker News ile paylaştığı teknik raporda , "Konfety, tehdit aktörlerinin büyük pazar yerlerinde bulunan 'sahte ikiz' uygulamalarının 'kötü ikiz' versiyonlarını çalıştırdığı yeni bir dolandırıcılık dedi .
Sayıları 250'yi aşan sahte uygulamalar zararsız olan Google Play Store üzerinden dağıtılırken, kötü ikiz sahte uygulamalar reklam dolandırıcılığını yapmak, tarayıcı aramalarını izlemek, tarayıcı uzantıları yüklemek ve APK uzantılı dosya kodlarını kullanıcıların cihazlarına yüklemek için tasarlanmış bir kötü amaçlı reklam kampanyası yoluyla yayılıyor.
Kampanyanın en sıra dışı yönü, kötü ikizin sahte ikiz gibi davranarak ikincisinin uygulama kimliğini ve reklam yayıncısı kimliklerini reklamları sunmak için taklit etmesidir.
Bununla birlikte, aldatmaca uygulamaları normal şekilde davranmakla kalmıyor, birçoğu reklam bile göstermiyor.
"Bu 'aldatmaca/kötü ikiz' karartma mekanizması, tehdit aktörlerinin hileli trafiği meşru olarak göstermeleri için yeni bir yoldur," dedi HUMAN araştırmacıları. "En üst noktasında, Konfety ile ilgili programatik hacim günde 10 milyar isteğe ulaştı."
Başka bir deyişle, Konfety, kötü amaçlı trafiği meşru trafikten ayırt etmeyi çok daha zor hale getirerek reklam dolandırıcılığı yapmak için SDK'nın reklam oluşturma yeteneklerinden yararlanıyor.
Konfety'nin kötü ikiz uygulamalarının, APK modlarını ve Letasoft Sound Booster gibi diğer yazılımları tanıtan bir kötü amaçlı reklam kampanyası yoluyla yayıldığı, tuzaklı URL'lerin saldırganların kontrolündeki alan adlarında, güvenliği ihlal edilmiş WordPress sitelerinde ve Docker Hub, Facebook, Google Sites ve OpenSea gibi içerik yüklemelerine izin veren diğer platformlarda barındırıldığı söyleniyor. Bu URL'lere tıklayan kullanıcılar, onları kötü niyetli ikiz uygulamayı indirmeye kandıran bir etki alanına yönlendiriliyor; bu da APK dosyasının varlıklarından şifresi çözülen ve komut ve kontrol iletişimlerini kurmak için kullanılan ilk aşama için bir damlalık görevi görüyor.
Dolandırıcı, Uygulamanın simgesini cihazın ana ekranından gizlemeye çalışır ve kullanıcı ana ekranındayken veya başka bir uygulama kullanırken tam ekran video reklamları sunarak dolandırıcılık yapan ikinci aşamada DEX çalıştırır.
"Bu uygulamalar, uygulama kimliklerini/paket adlarını ve yayıncı kimliklerini sahte ikiz uygulamalardan kopyalayarak karşılık gelen sahte ikiz uygulamalarını taklit ediyor."
"Kötü ikiz uygulamalarından elde edilen ağ trafiği, işlevsel olarak sahte ikiz uygulamalarından elde edilen ağ trafiğiyle aynıdır; kötü ikizler tarafından oluşturulan reklam gösterimleri, istekteki sahte ikizlerin paket adını kullanır."
Yazılımın diğer yetenekleri arasında web tarayıcısını kullanarak web sitelerini ziyaret etmek, kullanıcıları sahte bağlantılara tıklamaya yönlendiren bildirimler göndererek kandırmak veya diğer reklam SDK'lerinin değiştirilmiş sürümlerini yüklemek yer alıyor.
Hepsi bu kadar değil. Evil Twins uygulamalarını yükleyen kullanıcılardan, cihaz ana ekranına, vptrackme.com ve youaresearching.com adlı etki alanlarına veri göndererek aramalarını gizlice izleyen bir arama araç çubuğu widget'ı eklemeleri isteniyor.
Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.
