Son birkaç yılda, tehdit aktörlerinin yetkisiz erişim elde etme ve zor kazanılmış paranızı çalma çabalarını artırdıkları bir sır değil. Bu çabaların bir parçası olarak bilgisayar korsanları, kurbanların fotoğraflarını şifreliyor ve hassas bilgiler için taramak üzere optik karakter tanıma kullanan ‘CherryBlos’ ve ‘FakeTrade’ adlı iki yeni kripto para hırsızı kötü amaçlı yazılım geliştirdiler.
İlk olarak Trend Micro tarafından keşfedilen ve Nisan 2023’ten beri dağıtımda olan CherryBlos kötü amaçlı yazılımı, çeşitli sosyal medya ağları aracılığıyla yayılarak masum yapay zeka araçları veya kripto para madencileri kılığına girerek masum kullanıcıları kandırıyor. Kötü amaçlı yazılım yüklendikten sonra önemli işlevlere erişmek için izin ister ve ardından kendisine ek ayrıcalıklar vererek kullanıcının zararlı faaliyetlerini durdurmasını zorlaştırıyor.
Kötü amaçlı bu yazılım, oturum açma kimlik bilgilerini ele geçirmek için resmi uygulamaları yakından taklit eden sahte kullanıcı arayüzlerini yüklemek gibi genel taktikleri kullanırken, aynı zamanda virüslü cihazda depolanan resimlerden ve fotoğraflardan değerli verileri çıkarmak için OCR’yi kullanıyor. Bunun nedeni, birçok kripto para cüzdanının, bir kullanıcının asıl cüzdanını unutması durumunda kurtarma parolasına sahip olması. Bununla birlikte, kullanıcılar genellikle kurtarma parolasının ekran görüntülerini alır ve OCR, kötü amaçlı yazılımın bu tür ekran görüntülerini aramasına ve bunları uzak bir sunucuya yüklemesine izin vererek kurbanın hassas verilerini önemli ölçüde risk altına sokuyor.
CherryBlos kötü amaçlı yazılımına ek olarak, aynı tehdit aktörleri, Play Store’da Malezya, Vietnam, Endonezya, Filipinler, Uganda ve Meksika’daki kullanıcıları hedefleyen dolandırıcılığı para kazandıran şaşırtıcı uygulamayı içeren geniş FakeTrade kampanyasının da arkasındaydı.
Tehdit aktörlerinin çeşitli kanallar aracılığıyla kötü amaçlı yazılım yayması yeni bir şey olmasa da, bu kötü amaçlı APK’lardan birinin, yani Synthnet’in meşru bir uygulama kılığına girerek Google Play’e girmesi ciddi endişelere yol açıyor. Neyse ki Google, önemli bir zarara yol açmadan hemen müdahale etti ve uygulamayı kaldırdı, ancak uygulama binin üzerinde indirme topladı.
Bu tür tehditlere yanıt olarak Google, 31 Ağustos 2023’ten itibaren kuruluş olarak kayıt olan tüm yeni geliştirici hesaplarının, uygulamaları göndermeden önce Dun & Bradstreet tarafından atanan geçerli bir D-U-N-S numarası sağlamasını zorunlu kılacak. Bu hamle, yalnızca platformun kötü amaçlı yazılımları dağıtmak için kötüye kullanılmasını önlemekle kalmayacak, aynı zamanda genel güvenliği de artıracak.
