ESET araştırmacıları, Bitcoin'in tekrar büyümesi sırasında Google Play'de ortaya çıkan sahte şifreleme cüzdanlarını analiz etti
Mayıs 2019'da, Bitcoin fiyatının Eylül 2018'den bu yana en yüksek noktalarına tırmandığını gördük. Siber suçluların bu yükselişi hızlıca görerek çeşitli aldatmacalarla ve zararlı uygulamalarla kripto para kullanıcılarını hedef almaya çabalamaları şaşırtıcı olmadı.
Popüler donanım şifreleme cüzdanı Trezor'u taklit edip “Trezor Mobile Wallet” adını kullanan böyle bir uygulama, kısa bir süre önce Reddit kullanıcıları tarafından Google Play'de tespit edildi. Daha önce Trezor markasını suistimal eden kötü amaçlı yazılımlar görmemiştik ve böyle bir sahte uygulamanın yeteneklerini merak ettik. Sonuçta Trezor, saklanan kripto paraya erişmek için fiziksel müdahale ve kimlik PIN koduyla kimlik doğrulama veya kurtarma çekirdeği bilgisi gerektiren donanım cüzdanları sunmaktadır. Benzer kısıtlamalar resmi uygulaması olan "TREZOR Manager” için de geçerlidir.
Sahte uygulamayı analiz ederek şunu bulduk:
1. Trezor'un çoklu güvenlik katmanları göz önüne alındığında Trezor kullanıcılarına herhangi bir zarar veremez;
2. “Coin Wallet - Bitcoin, Ripple, Ethereum, Tether” adında, kullanıcıları dolandırıp parasını alan sahte bir kripto para cüzdanı uygulamasına bağlıdır.
3. Her iki uygulama da çevrimiçi satılan bir uygulama taslağının üzerinden yapılandırılmıştır.
Sahte Trezor uygulamasını Google'ın güvenlik ekiplerine bildirdik ve bu blog yazısının yayımlanması için Trezor'a ulaştık. Trezor, sahte uygulamanın kullanıcılarına doğrudan bir tehdit oluşturmadığını doğruladı. Bununla birlikte, bunun gibi sahte uygulamalar aracılığıyla toplanan e-posta adreslerinin daha sonra Trezor kullanıcılarına yönelik kimlik avı kampanyaları için kötüye kullanılabileceği konusunda endişelerini dile getirdiler.
Bu yazıyı yazılırken, ne sahte Trezor uygulaması ne de Coin Wallet uygulaması Google Play'de mevcut değildi.
Sahte Trezor uygulaması
Trezor için mobil cüzdan gibi görünen uygulama, Şekil 1'de görüldüğü gibi 1 Mayıs 2019'da Google Play'e “Trezor Inc.” adlı geliştirici adı altında yüklendi. Genel olarak, Google Play'deki uygulama sayfası güvenilir görünüyordu. Uygulama adı, geliştirici adı, uygulama kategorisi, uygulama açıklaması ve görsellerin hepsi ilk bakışta orijinal görünüyordu. Analizimiz sırasında, Google Play'de “Trezor” yazıp arayınca, sahte uygulama, Trezor'un resmi uygulamasından hemen sonra ikinci sonuç olarak ortaya çıktı.
Ne yapar?
Bununla birlikte, ikna edici görünüm, Google Play'de başlayıp bitiyor. Kurulumdan sonra, kullanıcıların ekranlarında görünen uygulama simgesi, Google Play'de görülenden farklıdır. Bu da şüpheli bir durum olduğunun açık bit göstergesidir. Şekil 2'de görüldüğü gibi yüklü uygulamanın simgesinin içinde “Coin Wallet” vardır.
Ayrıca, kullanıcılar uygulamayı başlattığında, Şekil 3'te görülen ve Trezor'la ilgili bir şey içermeyen sıradan bir giriş ekranı görüntülenir. Bu, orijinal bir uygulama kullanmadığımızın başka bir göstergedir. Bu ekran, giriş bilgilerini çalmak üzere kimlik avı öğeleri içerir fakat tam olarak hangi bilgileri çaldığı ya da saldırganların bu bilgileri ne için kullanabileceği belirsizdir. Her iki durumda da, sahte oturum açma formuna giren kullanıcılar Şekil 4'te gösterildiği gibi saldırganın sunucusuna gönderilir.
Şekil 4'te görüldüğü gibi, sahte Trezor uygulamasından kimlik bilgilerini toplamak için kullanılan sunucu coinwalletinc[.]com'da barındırılıyor. Domain'e bakarken web sitesinde “Coin Wallet”, Google Play'de “Coin Wallet - Bitcoin, Ripple, Ethereum, Tether” adlı başka bir hileli uygulamaya yönlendirildik. Bu uygulama, bu blog yazısının aşağıdaki bölümünde açıklanmıştır.
Coin Wallet uygulaması
Coin Wallet uygulaması ve önceki bölümde açıklanan sahte Trezor uygulamasının çok ortak yönü olduğundan bahsetmiştik. Aynı sunucuyu kullanmanın yanı sıra kod ve arayüzde de benzerlikleri var. Coin Wallet uygulaması, yüklemeden sonra sahte Trezor uygulamasında gördüğümüz uygulama simgesini kullanıyor.
Şekil 5'te görüldüğü gibi, Coin Wallet uygulaması, kendi web sitesinde “Dünyanın önde gelen Para Cüzdanı” olarak tanımlanmaktadır.
Web sitesi, Şekil 6'da görüldüğü gibi, uygulamanın 7 Şubat 2019'dan 5 Mayıs 2019'a kadar “Coin Wallet - Bitcoin, Ripple, Ethereum, Tether” adıyla ulaşılabildiği Google Play'e bir bağlantı içerir. Bu süre boyunca, 1.000'den fazla kullanıcı tarafından cihazlara kuruldu.
Web sitesi ayrıca Apple'ın App Store'una bağlantı kuruyor gibi görünüyor, ancak “App Store'da mevcut” düğmesine tıklamak yalnızca PNG görüntüsünün URL'ine yönlendiriyor.
Web sitesi, Şekil 6'da görüldüğü gibi, uygulamanın 7 Şubat 2019'dan 5 Mayıs 2019'a kadar “Coin Wallet - Bitcoin, Ripple, Ethereum, Tether” adıyla ulaşılabildiği Google Play'e bir bağlantı içerir. Bu süre boyunca, 1.000'den fazla kullanıcı tarafından cihazlara kuruldu.
Web sitesi ayrıca Apple'ın App Store'una bağlantı kuruyor gibi görünüyor, ancak “App Store'da mevcut” düğmesine tıklamak yalnızca PNG görüntüsünün URL'ine yönlendiriyor.
Paket Adı | Hash | Tespit |
com.trezorwalletinc.cryptocurrency | 0021A89588C8CEB885A40FBCCA6DD76D | Trojan.Android/FakeApp.KO |
com.walletinc.cryptocurrency | EE9E4AD693A0F0C9971145FB0FB0B85C | Trojan.Android/FakeApp.KO |
Kripto Para | Cüzdan |
BTC | 17jAe7hTZgNixT4MPZVGZD7fGKQpD9mppi |
DOGE | DGf6dT2rd9evb4d6X9mzjd9uaFoyywjfrm |
ETH | 0x69919d83F74adf1E6ACc3cCC66350bEA4b01E92C |
LTC | Lg64xV4Mw41bV3pTKc5ooBJ4QZ81gHUuJ6 |
BCH | qq9cjckr3r9wl5x4f3xcfshpcj72jcqk9uu2qa7ja2 |
DASH | Xu6mkZNFxSGYFcDUEVWtUEcoMnfoGryAjS |
ZEC | t1JKPTwHJcj6e5BDqLp5KayaXLWdMs6pKZo |
XRP | raPXPSnw61Cbn2NWky39CrCL1AZC2dg6Am |
USDT | 0x69919d83F74adf1E6ACc3cCC66350bEA4b01E92C |
XLM | GDZ2AT7TU6N3LTMHUIX6J2DZHUDBU74X65ASOWEZUQGP7JMQ237KDBUX |
TRX | TAm4fPA6yTQvaAjKs2zFqztfDPmnNzJqi2 |
ADA | DdzFFzCqrhswWLJMdNPJK8EL2d5JdN8cSU1hbgStPhxDqLspXGRRgWkyknbw45KDvT2EJJhoPXuj2Vdsj6V6WWM5JABoZ4UhR7vnRopn |
NEO | AJqeUDNrn1EfrPxUriKuRrYyhobhk78zvK |