Sahte uygulamalar milyonlarca kişiyi avladı

Siber güvenlik firması Check Point, sahte kripto uygulamalarıyla kötü amaçlı yazılım yaymaya çalışan çevrim içi reklamlara dünya genelinde yaklaşık 10 milyon kişinin maruz kaldığı uyarısında bulundu.

Check Point Research salı günü yaptığı açıklamada, kripto kullanıcılarını hedef alan ve yaygın kripto alım satım uygulamalarını taklit eden “JSCEAL” adlı bir kötü amaçlı yazılım kampanyasını takip ettiğini söyledi.

Şirket, kampanyanın en az Mart 2024’ten beri aktif olduğunu ve “zamanla kademeli olarak evrildiğini” belirtti. Kampanya, kurbanları Binance, MetaMask ve Kraken dahil olmak üzere “neredeyse 50 yaygın kripto para alım satım uygulamasını” taklit eden sahte uygulamaları yüklemeye yönlendiren reklamları kullanıyor.

Kripto kullanıcıları, kripto hırsızlığı mağdurlarının fonlarını geri alma konusunda çok az seçeneğe sahip olması ve blockchain’lerin kötü aktörleri anonimleştirmesi nedeniyle, çeşitli kötü niyetli kampanyaların ana hedefidir. Bu durum, dolandırıcılıkların arkasındakileri ortaya çıkarmayı zorlaştırır.

Kötü niyetli reklamlara maruz kalan kişi sayısının 10 milyonu aştığı tahmin ediliyor

Check Point, Meta’nın reklam araçlarının 2025’in ilk yarısında 35.000 kötü niyetli reklamın teşvik edildiğini gösterdiğini ve bu durumun “sadece AB’de birkaç milyon görüntülenmeyle” sonuçlandığını söyledi.

Firma, AB içinde en az 3,5 milyon kişinin bu reklam kampanyalarına maruz kaldığını tahmin etti ancak “Asya’daki kripto ve finans kurumlarını” da taklit ettiklerini belirtti. Bu bölgelerde sosyal medya kullanıcılarının sayısı daha yüksek.

Check Point, “küresel erişim rahatlıkla 10 milyonu aşabilir,” dedi.

Firma, bir kötü amaçlı yazılım kampanyasının tam kapsamını belirlemenin genellikle imkansız olduğunu ve reklam erişiminin “mağdur sayısına eşit olmadığını” belirtti.

Kötü amaçlı yazılım “benzersiz kaçınma yöntemleri” kullanıyor

Check Point, kötü amaçlı yazılım kampanyasının en son yinelemesinin “benzersiz kaçınma yöntemleri” kullandığını, bunun da “son derece düşük tespit oranlarına” yol açtığını ve bu sayede uzun süre tespit edilemeden kalabildiğini söyledi.

Kötü niyetli bir reklama tıklayan kurbanlar, kötü amaçlı yazılımı indirmek için meşru görünen ancak sahte bir siteye yönlendiriliyor. Check Point, saldırganın web sitesi ve yükleme yazılımının aynı anda çalıştığını ve bunun “analiz ve tespit çabalarını önemli ölçüde zorlaştırdığını” çünkü bu bileşenlerin tek başına tespit edilmesinin zor olduğunu söyledi.

Sahte uygulama, kurbanın indirdiğini sandığı uygulamanın resmi sitesine yönlendiren bir program açarak onu kandırıyor ancak arka planda “özellikle kriptoyla ilgili hassas kullanıcı bilgilerini” topluyor.

İlgili: Uzmanlar uyarıyor: X mesajları ve sahte projelerle kripto cüzdanlar ele geçiriliyor

Kötü amaçlı yazılım, çalıştırılmak için kurbanın girişi gerekmeden çalışabilen popüler programlama dili JavaScript’i kullanıyor. Check Point, “derlenmiş kod ve yoğun karartma kombinasyonunun” kötü amaçlı yazılımı analiz etmeye yönelik çabalarını “zorlayıcı ve zaman alıcı” hale getirdiğini belirtti.

Kötü amaçlı yazılım, hesap bilgileri ve parolaları topluyor

Check Point, kötü amaçlı yazılımın ana amacının, bulaştığı cihazdaki mümkün olduğunca fazla bilgiyi toplayarak tehdit aktörüne iletmek olduğunu söyledi.

Programların topladığı veriler arasında klavye tuşlama kayıtları (bu parolaların ele geçirilmesine yol açabilir), Telegram hesap bilgileri ve otomatik doldurma şifreleri yer alıyor.

Kötü amaçlı yazılım ayrıca kurbanın sık ziyaret ettiği siteleri gösterebilecek tarayıcı çerezlerini topluyor ve MetaMask gibi kriptoyla ilgili web uzantılarını manipüle edebiliyor.

Check Point, kötü amaçlı JavaScript çalıştırmalarını tespit eden anti-malware yazılımlarının, hali hazırda enfekte olmuş bir cihazdaki saldırıyı durdurmada “son derece etkili” olacağını söyledi.