Brezilya’da WhatsApp Solucanı ve RelayNFC ile Gelişmiş Bankacılık Truva Atı Saldırıları

Anasayfa » Brezilya’da WhatsApp Solucanı ve RelayNFC ile Gelişmiş Bankacılık Truva Atı Saldırıları
Bankacılık Tehditleri, Mobil Güvenlik, Zararlı Yazılım
Aralık 3, 2025Aralık 3, 2025Tarafından Cybernews.TR
0
Brezilya’da WhatsApp Solucanı ve RelayNFC ile Gelişmiş Bankacılık Truva Atı Saldırıları

Saldırının Genel Çerçevesi

Brezilya’daki kullanıcılar, WhatsApp üzerinden yayılan çok katmanlı bir bankacılık truva atı saldırısının hedefi oldu. Bu kampanya, HTML Uygulama (HTA) dosyaları ve PDF ekleri aracılığıyla başlatılıyor. Saldırganlar, PowerShell tabanlı öncüllerden Python tabanlı otomasyona geçerek WhatsApp Web üzerinden solucan benzeri yayılım sağlıyor. Bu sayede kötü amaçlı yazılım, kullanıcıların güvenini sosyal mühendislik teknikleriyle sömürerek hızla çoğalabiliyor.

Paralel olarak, RelayNFC adlı yeni bir Android kötü amaçlı yazılımı da Brezilya’da ödeme kartı kullanıcılarını hedefliyor. Bu zararlı, NFC röle saldırılarıyla temassız ödeme verilerini gerçek zamanlı olarak çalıyor ve React Native ile Hermes bytecode kullanılarak geliştirildiği için tespiti zorlaşıyor.

Saldırı Zinciri ve Teknik Detaylar

Kampanyada kullanıcılar, WhatsApp’ta güvenilir kişilerden gelen mesajlarla kötü amaçlı PDF veya HTA dosyalarına tıklamaya teşvik ediliyor. PDF dosyaları, Adobe Reader güncellemesi bahanesiyle kullanıcıları tuzağa düşürürken, HTA dosyaları Visual Basic Script aracılığıyla PowerShell komutları çalıştırarak sonraki aşama yüklerini indiriyor. Bu aşamada MSI yükleyicisi devreye giriyor ve AutoIt scripti kullanılarak bankacılık truva atı kuruluyor.

AutoIt scripti, sistem dilinin Portekizce (Brezilya) olup olmadığını kontrol ederek, Bradesco, Itaú, Sicoob gibi büyük bankaların uygulamalarını ve güvenlik modüllerini hedef alıyor. Ayrıca Google Chrome tarama geçmişini inceleyerek Santander, Banco do Brasil gibi bankaların web sitelerine erişimleri takip ediyor. Kötü amaçlı yazılım, açık pencere başlıklarını izleyip bankacılık ve kripto platformlarıyla ilgili anahtar kelimeler tespit ettiğinde, truva atını hafızaya enjekte ediyor ve kalıcılık sağlıyor.

Python tabanlı yayılım scripti, Selenium tarayıcı otomasyon aracıyla WhatsApp Web oturumları üzerinden kötü amaçlı yazılımı otomatik olarak dağıtıyor. Bu geçişte büyük dil modelleri veya kod çeviri araçlarının kullanıldığına dair işaretler bulunuyor.

RelayNFC Android Kötü Amaçlı Yazılımı

Kasım 2025’ten beri devam eden RelayNFC kampanyası, NFC röle saldırılarıyla temassız ödeme kartı verilerini çalıyor. Kötü amaçlı yazılım, kurbanın kartını fiziksel olarak oradaymış gibi işlemleri tamamlamasına izin veren gerçek zamanlı APDU röle kanalı uyguluyor. Kullanıcılar, ödeme kartlarını koruma bahanesiyle sahte Portekizce oltalama sitelerinden kötü amaçlı APK dosyaları yüklemeye ikna ediliyor.

RelayNFC, React Native ve Hermes bytecode kullanımıyla statik analizden kaçınıyor. Ayrıca WebSocket bağlantısı üzerinden yakalanan kart bilgilerini saldırgan sunuculara iletiyor. Host Card Emulation (HCE) teknolojisi üzerinde de denemeler yapıldığı gözlemleniyor, bu da NFC röle saldırılarının gelişmekte olduğunu gösteriyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • WhatsApp ve diğer mesajlaşma platformlarında gelen dosya eklerine karşı kullanıcıları bilinçlendirin.
  • EDR çözümlerinde PowerShell ve Python tabanlı otomasyon aktivitelerini izleyin ve anormal davranışları tespit edin.
  • AutoIt ve benzeri script tabanlı yükleyiciler için özel tespit kuralları oluşturun.
  • Tarayıcı geçmişi ve pencere başlıkları gibi kritik verilerin izinsiz erişimini engellemek için uygulama izinlerini kısıtlayın.
  • NFC ve mobil ödeme sistemleri için uygulama beyaz listeleme ve davranış analizi kullanarak kötü amaçlı APK yüklemelerini engelleyin.
  • Olay müdahale süreçlerinde, IMAP tabanlı C2 iletişimlerini ve WebSocket bağlantılarını analiz edin.
  • Ağ segmentasyonu ile kritik finansal sistemlerin dışa açılan erişimlerini sınırlandırın.
  • MFA ve Zero Trust prensiplerini uygulayarak kimlik doğrulama katmanlarını güçlendirin.

Teknik Özet

  • Kullanılan zararlılar: Water Saci bankacılık truva atı, RelayNFC Android kötü amaçlı yazılımı.
  • Hedefler: Brezilya’daki bankacılık kullanıcıları ve finansal hizmetler.
  • Saldırı zinciri: Sosyal mühendislik (WhatsApp mesajları) → kötü amaçlı HTA/PDF ekleri → PowerShell/Python tabanlı yükleyiciler → bankacılık truva atı kurulumu ve kalıcılık.
  • Teknik özellikler: AutoIt scriptleri, Python Selenium otomasyonu, IMAP tabanlı C2, React Native tabanlı Android zararlı, Hermes bytecode, gerçek zamanlı APDU röle saldırısı.
  • Önerilen savunma: Kullanıcı eğitimi, EDR ve SIEM ile davranış analizi, ağ segmentasyonu, MFA, uygulama izin yönetimi.
, , , , , , ,