Güvenlik araştırmacıları, Coinbase, Metamask, TokenPocket ve IMToken hizmetleri için truva atlı mobil kripto para cüzdan uygulamaları kullanan büyük ölçekli bir kötü niyetli işlemi ortaya çıkardılar.
Kötü niyetli etkinlik bu yılın başlarında Mart ayında tanımlanmıştır. Concant'daki araştırmacılar, bu etkinlik kümesi deniz uçağını adlandırdı ve onu "meşhur Lazarus Grubu'ndan hemen sonra Web3 kullanıcılarını hedefleyen en teknik olarak karmaşık tehdit" olarak tanımladılar.
Yakın zamanda yapılan bir raporda, Conficant, kötü niyetli kripto para uygulamalarının gerçek olanlarla aynı olduğunu, ancak dijital varlıklara erişmek için kullanıcıların güvenlik ifadesini çalabilecek bir arka kapı ile birlikte geldiğini belirtiyor.
Seaflower aktivitesinin arkasındaki tehdit aktörleri, kaynak kodundaki yorumların dili, altyapı konumu, çerçeveler ve kullanılan hizmetler gibi ipuçlarına göre Çin gibi görünmektedir.
Seaflower işleminin ilk adımı, truva işlemlerini mümkün olduğunca çok kullanıcıya yaymaktır. Tehdit oyuncusu bunu meşru web siteleri, SEO zehirlenmesi ve siyah SEO tekniklerinin klonları aracılığıyla başarıyor.
Uygulamaların sosyal medya kanallarında, forumlarda ve kötü niyetli olarak tanıtılması da mümkündür, ancak gözlemlenen birincil dağıtım kanalı arama hizmetleridir.
Araştırmacılar, Baidu motorundan gelen arama sonuçlarının, deniz uçağı operasyonundan en çok etkilenen ve büyük miktarlarda trafiği kötü niyetli sitelere yönlendirdiğini buldular.
İOS'ta, siteler, güvenlik korumalarını atlamak için cihazdaki kötü amaçlı uygulamaları yan yüklemek için profilleri kötüye kullanır.
Sağlama profilleri, geliştiricileri ve cihazları yetkili bir geliştirme ekibine bağlamak için kullanılır. Cihazların uygulama kodunu test etmek için kullanılmasına izin vererek onları bir cihaza kötü amaçlı uygulamalar eklemek için güçlü bir yöntem haline getirir.
Konfor analistler, Seaflower yazarlarının arka kapıları nasıl diktiğini ve hepsinde benzer kod bulduğunu anlamak için uygulamaları mühendisleri tersine çevirdi.
İOS'taki Metamask uygulaması için, arka kapı kodu tohum ifadesi oluşturulduktan sonra ve şifreli bir biçimde saklanmadan önce etkinleştirilir. Bu, tehdit aktörünün yeni bir cüzdan oluştururken veya yeni yüklü bir uygulamaya mevcut bir cüzdan eklerken geçiş ifadesini kestiği anlamına gelir.
Arka kapı kodunda tanımlanan işlevlerden biri olan "startupload", tohum ifadesini çalmaktan ve meşru satıcılarınkini taklit eden alanlara göndermekten sorumludur.
Örneğin, tehdit oyuncusu, geçiş ifadelerini 'trx.lnfura [.] Org' olarak açıklamak için istekleri kullandı -bu da gerçek 'infura.io' i taklit etti. Benzer şekilde, Metamask'ın orijinal alanını taklit eden 'Metanask [.] CC' kullandılar.
İşlevleri gizleyen sınıf, Base64 kodlama algoritması kullanılarak gizlenir ve RSA kriptosistemi kullanılarak şifrelenir. Ancak, anahtarlar sabit kodlanmıştır, böylece analistler arka kapıyı şifresini çözebilir, kodu test edebilir ve çalışma zamanında doğrulayabilir.
Arka kapı kodu, Android varyantlarında kötü niyetli uygulamalarda özenle gizli değildi ve araştırmacılar işlevlerinin daha fazla çaba sarf etmeden daha fazla erişebilirler.
Keşfedilen arka kapıda özellikle ilginç bir husus, JavaScript'i yüklemek için doğrudan RCTBridge örneğine reaksiyonlu bir yerel paketin enjeksiyonudur.
Bu bulguya atıfta bulunarak, Concant Tehdit İstihbarat Direktörü Taha Karim, aşağıdaki yorumu BleepingComputer ile paylaştı:
React Native Paketleri enjekte etmek kesinlikle arka fırın dünyasında yeni bir şeydir, Metamask'ın React Native uygulaması olması ile ilgilidir. Saldırganlar, tersine mühendisliğin yerli köprüyü tepki verdiğini ve demetlerin nasıl ve nerede yüklendiğini anladılar.
Arka kapı paketini çalışma zamanında yüklenmeye zorlamak ve JavaScriptCore tarafından yürütülmesini sağlamak için bir logo tweak eklediler. Bundle, RSA'nın şifreli ve bir Dylib dosyasının içinde gizlenmiş, bu da çalışma zamanında enjekte edilen bir Dylib dosyası geldi.
Bu sinsi tehditlere karşı korumak için, kripto para birimi kullanıcıları cüzdan uygulamalarını yalnızca resmi uygulama mağazaları veya geliştiricinin web sitesinden güvenilir kaynaklardan indirmelidir.
İOS kullanıcıları için, taleplerin meşruiyetini kontrol etmeden sağlama profillerini yüklemek veya kabul etmek, çünkü bunlar iOS veya MacOS sistemlerine herhangi bir uygulamanın yüklenmesine izin verir.
Bilgisayar korsanları, iCloud yedeklemesinden metamask tohumu seçtikten sonra 655 bin dolar çaldı
Galyum bilgisayar korsanları arka kapı finansmanı, yeni pingpull kötü amaçlı yazılım kullanan govt orgs
Bilgisayar korsanları, kriptominasyon için son zamanlarda yamalı Confluence hatasını sömürüyor
Zehirlenmiş CCleaner Arama Sonuçları Bilgi Çalma Kötü Yazılım Yayılıyor
Çin Hacking Grubu Aoqin Dragon sessizce casusluk orgs on yıldır
Kaynak: Bleeping Computer