Kaspersky’den “Roaming Mantis” operasyonuna ilişkin tespit

İSTANBUL (AA) – Kaspersky, daha önce çoğunlukla Asya bölgelerini hedefleyen Roaming Mantis isimli kötü niyetli bir siber operasyonun Almanya ve Fransa'daki yeni hedefleri aktif olarak smishing (kısa mesajla yapılan oltalama) yoluyla “enfekte” ettiğini tespit etti.

Şirket açıklamasına göre, operasyonun arkasındaki aktör, hedeflerin özel bilgilerini toplamak ve paralarını çalmak için mobil kötü amaçlı yazılımları ve kimlik avı sayfalarını yayıyor. Etkilenen cihaz daha sonra kullanıcının kişi listesini ve diğer kaynakları kullanarak bir sonraki hedef grubuna smishing mesajları gönderiyor.

Nisan 2018'de Kaspersky araştırmacıları Roaming Mantis'i ilk kez keşfetti. O zamanlar siber suçlular sadece Android akıllı telefonları hedefliyordu ve çoğunlukla Asya bölgelerini (Güney Kore, Bangladeş ve Japonya) hedef alıyordu. Operasyon kısa sürede önemli ölçüde gelişti ve 2018'den beri kimlik avı, madencilik, smishing ve DNS ele geçirme gibi çeşitli saldırı yöntemlerinde kullanılır oldu. Grup şimdi ana hedef bölgelerine Avrupa ülkelerini de ekleyerek coğrafyasını genişletti.

Genel olarak smishing mesajları çok kısa bir açıklama ve bir açılış sayfasının URL'sini içeriyor. Kullanıcı bağlantıyı tıklar ve açılış sayfasına girerse, Roaming Mantis operasyonu iki senaryodan birini işleme alıyor. İlk senaryoda kişi iOS kullanıcısıysa, resmi Apple web sitesini taklit eden bir kimlik avı sayfasına yönlendiriliyor ve kimlik bilgilerini girmeleri isteniyor. İkinci senaryoda smishing mesajındaki bağlantıya tıklandıktan sonra Android cihaza kötü amaçlı yazılım bulaşıyor. Ardından saldırgan hem kullanıcının kişi listesinden hem de oluşturulan telefon numaralarından virüslü cihaz aracılığıyla yeni hedeflere smishing mesajları göndermeye başlıyor. Kişisel bir iletişim kanalı olarak SMS metinleri, kullanıcılar genellikle tanıdıklarından kötü niyetli bir mesaj almayı beklemediklerinden kişinin tehditlere karşı savunmasını da doğal olarak düşürüyor.

– “SMS mesajlarıyla gönderilen şüpheli URL'leri açmayın”

Saldırgan, bir kimlik avı sayfasını ilgili dilde görüntülemek için virüslü Android cihazının bölgesini kontrol edecek şekilde bir özellik kuruyor. Bu özellik önceki sürümlerde sadece üç bölgeyi kontrol etmek için kullanılıyordu (Hong Kong, Tayvan ve Japonya). Kaspersky uzmanları, yük bölümünün en son sürümünde bir güncelleme gözlemledi ve Almanya ve Fransa'nın yeni bölgeler olarak eklendiğini keşfetti. Hedeflerin ana dilini kullanmak, aktörün kullanıcının karar verme sürecini manipüle etmesine izin veriyor ve onları kişisel bilgilerini ve banka ayrıntılarını paylaşmaya ikna ediyor.

Önceki sürümlerle karşılaştırıldığında arka kapı komutlarında yeni bir değişiklik oldu. Geliştirici virüslü cihazlardan fotoğraf çalmak için arka kapı komutları ekledi, ancak çalınan resimleri tam olarak nasıl kullandığına dair bilgi henüz bulunamadı.

Açıklamada görüşlerine yer verilen Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Suguru Ishimaru, Roaming Mantis'in son 5 yılda aktif olarak geliştiğini belirterek, “Saldırı için yeni yollar bulmanın yanı sıra hedeflenen ülkelerin sayısını genişletti. Özellikle saldırganın kurbanların fotoğraflarını kullanmasına izin veren yeni arka kapı özelliklerinin ortaya çıkmasıyla birlikte, güçlü finansal motivasyonun da etkisiyle bu saldırıların 2022'de devam edeceğini tahmin ediyoruz. Dünyanın her yerindeki kullanıcıları güvende tutmak için sürekli olarak en son Roaming Mantis etkinliğini araştırıyor ve rapor ediyoruz.” ifadelerini kullandı.

Kaspersky, Roaming Mantis smishing saldırılarından korunmak için şunları öneriyor:

“SMS mesajlarıyla gönderilen şüpheli URL'leri açmayın. İleti şüpheli görünmese bile tıklamadan önce URL'nin etki alanını kontrol edin. En iyi arkadaşlarınızdan bir mesaj veya e-posta gelse bile onların hesaplarının da saldırıya uğramış olabileceğini unutmayın. Her durumda dikkatli olun. Mesaj arkadaşça görünse dahi bağlantılara ve eklere dikkatli yaklaşın. Bankalar, vergi daireleri, çevrimiçi mağazalar, seyahat acenteleri, havayolları gibi resmi kuruluşlardan gelen iletiler, hatta kendi ofisinizden gelen dahili iletiler bile inceleme gerektirir. Güvenilmeyen kaynaklardan üçüncü parti uygulamaları kurmayın. Güvenilir bir güvenlik çözümü kurun ve tavsiyelerine uyun. Güvenli çözümler, sorunların çoğunu otomatik olarak çözecek ve gerekirse sizi uyaracaktır.”

Muhabir: Harun Bahçivan