Bitcoin fiyatı arttıkça Google Play'de sahte şifreleme uygulamaları ortaya çıkıyor

Sonraki hikaye
Lukas Stefanko

ESET araştırmacıları, Bitcoin'in tekrar büyümesi sırasında Google Play'de ortaya çıkan sahte şifreleme cüzdanlarını analiz etti

Mayıs 2019'da, Bitcoin fiyatının Eylül 2018'den bu yana en yüksek noktalarına tırmandığını gördük. Siber suçluların bu yükselişi hızlıca görerek çeşitli aldatmacalarla ve zararlı uygulamalarla kripto para kullanıcılarını hedef almaya çabalamaları şaşırtıcı olmadı.

Popüler donanım şifreleme cüzdanı Trezor'u taklit edip “Trezor Mobile Wallet” adını kullanan böyle bir uygulama, kısa bir süre önce Reddit kullanıcıları tarafından Google Play'de tespit edildi. Daha önce Trezor markasını suistimal eden kötü amaçlı yazılımlar görmemiştik ve böyle bir sahte uygulamanın yeteneklerini merak ettik. Sonuçta Trezor, saklanan kripto paraya erişmek için fiziksel müdahale ve kimlik PIN koduyla kimlik doğrulama veya kurtarma çekirdeği bilgisi gerektiren donanım cüzdanları sunmaktadır. Benzer kısıtlamalar resmi uygulaması olan "TREZOR Manager” için de geçerlidir.

Sahte uygulamayı analiz ederek şunu bulduk:

1.       Trezor'un çoklu güvenlik katmanları göz önüne alındığında Trezor kullanıcılarına herhangi bir zarar veremez;

2.       “Coin Wallet - Bitcoin, Ripple, Ethereum, Tether” adında, kullanıcıları dolandırıp parasını alan sahte bir kripto para cüzdanı uygulamasına bağlıdır.

3.       Her iki uygulama da çevrimiçi satılan bir uygulama taslağının üzerinden yapılandırılmıştır.

Sahte Trezor uygulamasını Google'ın güvenlik ekiplerine bildirdik ve bu blog yazısının yayımlanması için Trezor'a ulaştık. Trezor, sahte uygulamanın kullanıcılarına doğrudan bir tehdit oluşturmadığını doğruladı. Bununla birlikte, bunun gibi sahte uygulamalar aracılığıyla toplanan e-posta adreslerinin daha sonra Trezor kullanıcılarına yönelik kimlik avı kampanyaları için kötüye kullanılabileceği konusunda endişelerini dile getirdiler.

Bu yazıyı yazılırken, ne sahte Trezor uygulaması ne de Coin Wallet uygulaması Google Play'de mevcut değildi.

Sahte Trezor uygulaması

Trezor için mobil cüzdan gibi görünen uygulama, Şekil 1'de görüldüğü gibi 1 Mayıs 2019'da Google Play'e “Trezor Inc.” adlı geliştirici adı altında yüklendi. Genel olarak, Google Play'deki uygulama sayfası güvenilir görünüyordu. Uygulama adı, geliştirici adı, uygulama kategorisi, uygulama açıklaması ve görsellerin hepsi ilk bakışta orijinal görünüyordu. Analizimiz sırasında, Google Play'de “Trezor” yazıp arayınca, sahte uygulama, Trezor'un resmi uygulamasından hemen sonra ikinci sonuç olarak ortaya çıktı.

Şekil 1: Google Play'deki sahte uygulama

Ne yapar?

Bununla birlikte, ikna edici görünüm, Google Play'de başlayıp bitiyor. Kurulumdan sonra, kullanıcıların ekranlarında görünen uygulama simgesi, Google Play'de görülenden farklıdır. Bu da şüpheli bir durum olduğunun açık bit göstergesidir. Şekil 2'de görüldüğü gibi yüklü uygulamanın simgesinin içinde “Coin Wallet” vardır.

Şekil 2: Kurulumdan sonra “Trezor Mobil Cüzdan” uygulamasının simgesi

Ayrıca, kullanıcılar uygulamayı başlattığında, Şekil 3'te görülen ve Trezor'la ilgili bir şey içermeyen sıradan bir giriş ekranı görüntülenir. Bu, orijinal bir uygulama kullanmadığımızın başka bir göstergedir. Bu ekran, giriş bilgilerini çalmak üzere kimlik avı öğeleri içerir fakat tam olarak hangi bilgileri çaldığı ya da saldırganların bu bilgileri ne için kullanabileceği belirsizdir. Her iki durumda da, sahte oturum açma formuna giren kullanıcılar Şekil 4'te gösterildiği gibi saldırganın sunucusuna gönderilir.

Şekil 3: Sahte uygulamada görüntülenen giriş ekranı
Şekil 4: Girilen kimlik bilgileri saldırganın sunucusuna gönderilir

Şekil 4'te görüldüğü gibi, sahte Trezor uygulamasından kimlik bilgilerini toplamak için kullanılan sunucu coinwalletinc[.]com'da barındırılıyor. Domain'e bakarken web sitesinde “Coin Wallet”, Google Play'de “Coin Wallet - Bitcoin, Ripple, Ethereum, Tether” adlı başka bir hileli uygulamaya yönlendirildik. Bu uygulama, bu blog yazısının aşağıdaki bölümünde açıklanmıştır.

Coin Wallet uygulaması

Coin Wallet uygulaması ve önceki bölümde açıklanan sahte Trezor uygulamasının çok ortak yönü olduğundan bahsetmiştik. Aynı sunucuyu kullanmanın yanı sıra kod ve arayüzde de benzerlikleri var. Coin Wallet uygulaması, yüklemeden sonra sahte Trezor uygulamasında gördüğümüz uygulama simgesini kullanıyor.

Şekil 5'te görüldüğü gibi, Coin Wallet uygulaması, kendi web sitesinde “Dünyanın önde gelen Para Cüzdanı” olarak tanımlanmaktadır.

Şekil 5: Coin Wallet uygulamasının web sitesindeki aldatıcı sunumu

Web sitesi, Şekil 6'da görüldüğü gibi, uygulamanın 7 Şubat 2019'dan 5 Mayıs 2019'a kadar “Coin Wallet - Bitcoin, Ripple, Ethereum, Tether” adıyla ulaşılabildiği Google Play'e bir bağlantı içerir. Bu süre boyunca, 1.000'den fazla kullanıcı tarafından cihazlara kuruldu.

Web sitesi ayrıca Apple'ın App Store'una bağlantı kuruyor gibi görünüyor, ancak “App Store'da mevcut” düğmesine tıklamak yalnızca PNG görüntüsünün URL'ine yönlendiriyor.

Şekil 6: Google Play'deki hileli Coin Wallet uygulaması

Web sitesi, Şekil 6'da görüldüğü gibi, uygulamanın 7 Şubat 2019'dan 5 Mayıs 2019'a kadar “Coin Wallet - Bitcoin, Ripple, Ethereum, Tether” adıyla ulaşılabildiği Google Play'e bir bağlantı içerir. Bu süre boyunca, 1.000'den fazla kullanıcı tarafından cihazlara kuruldu.

Web sitesi ayrıca Apple'ın App Store'una bağlantı kuruyor gibi görünüyor, ancak “App Store'da mevcut” düğmesine tıklamak yalnızca PNG görüntüsünün URL'ine yönlendiriyor.

Paket Adı

Hash

Tespit

com.trezorwalletinc.cryptocurrency

0021A89588C8CEB885A40FBCCA6DD76D

Trojan.Android/FakeApp.KO

com.walletinc.cryptocurrency

EE9E4AD693A0F0C9971145FB0FB0B85C

Trojan.Android/FakeApp.KO

 

 

Kripto Para

Cüzdan

BTC

17jAe7hTZgNixT4MPZVGZD7fGKQpD9mppi

DOGE

DGf6dT2rd9evb4d6X9mzjd9uaFoyywjfrm

ETH

0x69919d83F74adf1E6ACc3cCC66350bEA4b01E92C

LTC

Lg64xV4Mw41bV3pTKc5ooBJ4QZ81gHUuJ6

BCH

qq9cjckr3r9wl5x4f3xcfshpcj72jcqk9uu2qa7ja2

DASH

Xu6mkZNFxSGYFcDUEVWtUEcoMnfoGryAjS

ZEC

t1JKPTwHJcj6e5BDqLp5KayaXLWdMs6pKZo

XRP

raPXPSnw61Cbn2NWky39CrCL1AZC2dg6Am

USDT

0x69919d83F74adf1E6ACc3cCC66350bEA4b01E92C

XLM

GDZ2AT7TU6N3LTMHUIX6J2DZHUDBU74X65ASOWEZUQGP7JMQ237KDBUX

TRX

TAm4fPA6yTQvaAjKs2zFqztfDPmnNzJqi2

ADA

DdzFFzCqrhswWLJMdNPJK8EL2d5JdN8cSU1hbgStPhxDqLspXGRRgWkyknbw45KDvT2EJJhoPXuj2Vdsj6V6WWM5JABoZ4UhR7vnRopn

NEO

AJqeUDNrn1EfrPxUriKuRrYyhobhk78zvK