Güvenlik araştırmacıları Salı günü, iş arayanların telefonlarına tehlikeli ve kötü amaçlı yazılımlar yüklemeyi amaçlayan karmaşık bir mobil kimlik avı kampanyasını ortaya çıkardı.Zimperium zLabs tarafından keşfedilen kampanya, Android cep telefonlarını hedef alıyor ve araştırmacıların AppLite Banker adını verdiği Antidot bankacılık trojanının bir türünü dağıtmayı amaçlıyor.Arizona, Scottsdale'deki bir sertifika yaşam döngüsü yönetimi sağlayıcısı olan Sectigo'da kıdemli uzman olan Jason Soroko, "AppLite bankacılık trojanının bankacılık ve kripto para birimi gibi kritik uygulamalardan kimlik bilgilerini çalma yeteneği bu dolandırıcılığı son derece tehlikeli hale getiriyor" dedi.TechNewsWorld'e konuşan uzman, "Mobil kimlik avı artmaya devam ettikçe, bireylerin istenmeyen iş tekliflerine karşı dikkatli olmaları ve tıklamadan önce bağlantıların meşruiyetini doğrulamaları hayati önem taşıyor" dedi.Clearwater, Florida'da güvenlik farkındalığı eğitimi sağlayıcısı olan KnowBe4'te güvenlik farkındalığı savunucusu olan James McQuiggan, "AppLite bankacılık truva atı, telefonun erişilebilirlik özellikleri aracılığıyla izinler gerektiriyor" diye ekledi .TechNewsWorld'e konuşan kullanıcı, "Kullanıcı farkında değilse, cihazı üzerinde tam kontrole sahip olabilir, kişisel verileri, GPS konumunu ve diğer bilgileri siber suçluların kullanımına sunabilir." dedi.
'Domuz Kesme' Taktiği
Zimperium'un web sitesindeki bir blogda araştırmacı Vishnu Pratapagiri, saldırganların kendilerini işe alımcı olarak tanıttıklarını ve şüphesiz kurbanları iş teklifleriyle kandırdıklarını açıkladı. Sahte işe alım süreçlerinin bir parçası olarak, diye devam etti, kimlik avı kampanyası kurbanları bir dropper gibi davranan kötü amaçlı bir uygulamayı indirmeye kandırıyor ve sonunda AppLite'ı yüklüyor.Pratapagiri, "Bu kimlik avı kampanyasının arkasındaki saldırganlar, kurbanlarını hedef almak için çeşitli ve karmaşık sosyal mühendislik stratejilerinden yararlanarak olağanüstü bir uyum yeteneği gösterdiler" diye yazdı.Saldırganların kullandığı temel taktiklerden biri, tanınmış kuruluşların bir iş bulma uzmanı veya İK temsilcisi gibi görünmektir, diye devam etti. Mağdurlar, gerçek iş tekliflerine veya ek bilgi taleplerine benzeyecek şekilde dikkatlice hazırlanmış sahte e-postalara yanıt vermeye teşvik ediliyor."İnsanlar iş bulmak için can atıyor, bu yüzden uzaktan çalışma, iyi maaş, iyi yan haklar gördüklerinde geri dönüş yapıyorlar" diyor Colorado, Centennial'da bulunan Dice'ın ana şirketi DHI Group'ta baş yetenek danışmanı olan Steve Levy . Levy, Dice, teknoloji odaklı roller arayan adaylar ve küresel olarak teknoloji yetenekleri işe almak isteyen işverenler için bir kariyer pazar yeri."Bu kartopunun yuvarlanmaya başlamasını sağlıyor," dedi TechNewsWorld'e. "Buna domuz kesimi denir. Çiftçiler bir domuzu azar azar şişmanlatırlar, böylece pişirme zamanı geldiğinde gerçekten iri ve sulu olurlar."İlk iletişimden sonra Pratapagiri, tehdit aktörlerinin kurbanları sözde bir CRM Android uygulamasını indirmeye yönlendirdiğini açıkladı. Bu uygulama meşru görünse de, kötü amaçlı bir dropper işlevi görerek birincil yükün kurbanın cihazına dağıtımını kolaylaştırıyor.AppLite kötü amaçlı yazılım saldırı dizisinin diyagramı
AppLite kötü amaçlı yazılımını kurbanın mobil cihazına dağıtmak ve çalıştırmak için kullanılan yöntemlerden birinin çizimi. (Kaynak: Zimperium)Mobil Saldırılara Dramatik Geçiş
Kaliforniya'nın Pleasanton kentindeki bir bilgisayar ve ağ güvenliği şirketi olan SlashNext'in saha CTO'su Stephen Kowski, AppLite kampanyasının, ilk olarak 2023'te kötü şöhretli Kuzey Koreli Lazarus grubu tarafından yürütülen küresel bir kampanya olan Operation Dream Job'da görülen tekniklerin gelişmiş bir evrimini temsil ettiğini belirtti.Orijinal Operation Dream Job'un savunma ve havacılık sektörlerindeki iş arayanları hedef almak için LinkedIn mesajları ve kötü amaçlı ekler kullandığını açıklayan yetkili, günümüzdeki saldırıların sahte iş başvuru sayfaları ve bankacılık trojanları aracılığıyla mobil güvenlik açıklarından faydalanmaya doğru genişlediğini söyledi.TechNewsWorld'e konuşan uzman, "Mobil öncelikli saldırılara doğru yaşanan dramatik geçiş, kimlik avı sitelerinin %82'sinin artık özellikle mobil cihazları hedef alması ve bunların %76'sının meşru görünmek için HTTPS kullanması gerçeğiyle kanıtlanıyor" dedi.Kowski, "Tehdit aktörleri, sosyal mühendislik taktiklerini geliştirerek, basit belge tabanlı kötü amaçlı yazılımların ötesine geçerek, kimlik bilgilerini çalabilen ve kişisel verileri tehlikeye atabilen gelişmiş mobil bankacılık Truva atları dağıttılar. Bu, bu kampanyaların nasıl evrimleşip yeni saldırı yüzeylerini istismar edecek şekilde nasıl uyum sağladığını gösteriyor" şeklinde açıklama yaptı.Müşteri Hizmetlerinizi Ölçekte Otomatikleştirin
Helsinki'de kurumsal güvenlik farkındalığı çözümleri sağlayan Hoxhunt'un kurucu ortağı ve CEO'su Mika Aalto, "Dahili verilerimiz, kullanıcıların masaüstü bilgisayarlara kıyasla mobil cihazları kullanırken kötü amaçlı e-postalara tıklama olasılığının dört kat daha fazla olduğunu gösteriyor" dedi ."Daha da endişe verici olan, mobil kullanıcıların bu kötü amaçlı e-postalara gece geç saatlerde veya sabahın çok erken saatlerinde daha da büyük bir oranda tıklama eğiliminde olması, bu da insanların savunmaları zayıf olduğunda mobil cihazlarda saldırılara karşı daha savunmasız olduklarını gösteriyor," dedi TechNewsWorld'e. "Saldırganlar bunun açıkça farkındalar ve bu güvenlik açıklarından yararlanmak için taktiklerini sürekli olarak geliştiriyorlar."Soroko, siber dolandırıcılıkların bu yeni dalgasının, potansiyel işvereni mutlu etme motivasyonuyla iş arayanları sömürmek için siber suçluların kullandığı gelişen taktikleri vurguladığını belirtti."Saldırganlar, bireylerin meşru görünen iş tekliflerine olan güveninden yararlanarak, mobil cihazları finansal verileri hedef alan karmaşık kötü amaçlı yazılımlarla enfekte edebilirler," dedi. "Özellikle Android cihazların kullanımı, mobil cihazlara özgü kimlik avı kampanyalarının artan eğilimini vurguluyor.""Android cihazınıza ne yüklediğinize dikkat edin" diye uyardı.
İşletmelerin de Korunmaya İhtiyacı Var
DHI'den Levy, iş arayanlara yönelik saldırıların yalnızca cep telefonlarıyla sınırlı olmadığını belirtti. "Bunun yalnızca cep telefonlarıyla sınırlı olduğunu düşünmüyorum," dedi. "Bunu tüm sosyal platformlarda görüyoruz. Bunu LinkedIn, Facebook, TikTok ve Instagram'da görüyoruz.""Bu dolandırıcılıklar yaygın olmakla kalmıyor, aynı zamanda çok sinsi," diye açıkladı. "İş arayanların duygusal durumlarından faydalanıyorlar.""Muhtemelen haftada üç veya dört tane bu metin sorgusu alıyorum," diye devam etti. "Hepsi otomatik olarak önemsiz klasörüme gidiyor. Bunlar, size 1.000 dolar göndermenizi isteyen ve size 10 milyon dolar geri verecekleri Nijeryalı prens e-postalarının yeni versiyonları."AppLite, kurumsal şirketleri taklit etme yeteneğinin ötesinde, Chrome ve TikTok uygulamaları gibi davranarak tam cihaz ele geçirme ve uygulama erişimi de dahil olmak üzere çok çeşitli hedef vektörleri de gösterebilir.Pratapagiri, "Saldırganlara sağlanan erişim düzeyi, cihaz kullanıcı tarafından uzaktan çalışma veya mevcut işvereni için erişim amacıyla kullanılıyorsa kurumsal kimlik bilgilerini, uygulamayı ve verileri de içerebilir" diye yazdı.Chicago'daki bir parola yönetimi ve çevrimiçi depolama şirketi olan Keeper Security'nin güvenlik ve mimari başkan yardımcısı Patrick Tiquet, "Mobil cihazlar iş operasyonları için vazgeçilmez hale geldiğinden, özellikle bu karmaşık mobil hedefli kimlik avı girişimleri de dahil olmak üzere çok çeşitli kimlik avı saldırılarına karşı koruma sağlamak için bunların güvenliğini sağlamak hayati önem taşıyor" dedi .TechNewsWorld'e verdiği demeçte, "Kuruluşlar, hem şirket tarafından verilen hem de BYOD cihazlarının güvenlik standartlarına uymasını sağlayarak sağlam mobil cihaz yönetim politikaları uygulamalıdır," dedi. "Hem cihazlara hem de güvenlik yazılımlarına düzenli güncellemeler, güvenlik açıklarının derhal kapatılmasını sağlayarak mobil kullanıcıları hedef alan bilinen tehditlere karşı koruma sağlayacaktır."Aalto ayrıca mobil kimlik avı saldırılarının giderek daha karmaşık hale gelmesiyle başa çıkmak için insan risk yönetimi (HRM) platformlarının benimsenmesini önerdi."Bir çalışan tarafından yeni bir saldırı bildirildiğinde, HRM platformu gelecekteki benzer saldırıları otomatik olarak bulmayı öğrenir," dedi. "HRM'yi entegre ederek, kuruluşlar kullanıcıların mobil kimlik avı ve smishing saldırılarına karşı aktif savunucular haline geldiği daha dayanıklı bir güvenlik kültürü yaratabilir." 
