Güneydoğu Asya bölgesinde, GoldFactory adlı organize bir siber suç grubu, Ekim 2024’ten itibaren Android cihazları hedef alan yeni bir saldırı dalgası başlattı. Bu kampanya kapsamında, değiştirilmiş bankacılık uygulamaları kullanılarak Endonezya, Tayland ve Vietnam’daki mobil kullanıcılar enfekte edildi. Yaklaşık 11.000’den fazla enfeksiyonun tespit edildiği bu operasyon, özellikle hükümet hizmetleri ve yerel güvenilir markaların taklit edilmesiyle gerçekleştirilen sosyal mühendislik saldırılarını içeriyor.
Saldırı Zinciri ve Teknik Detaylar
Kampanya, mağdurlara Zalo gibi popüler mesajlaşma uygulamaları üzerinden gönderilen bağlantılar aracılığıyla başlıyor. Bu bağlantılar, Google Play Store’u taklit eden sahte açılış sayfalarına yönlendiriyor ve burada Gigabud, MMRat veya Remo gibi uzaktan erişim trojanlarının (RAT) dağıtımı sağlanıyor. Bu zararlılar, Android’in erişilebilirlik hizmetlerini kötüye kullanarak cihazların uzaktan kontrolünü mümkün kılıyor. Ayrıca, kötü amaçlı yazılım orijinal bankacılık uygulamalarının koduna Frida, Dobby ve Pine gibi meşru bağlama çerçeveleri enjekte ederek, uygulamanın normal işlevselliğini korurken güvenlik önlemlerini atlatabiliyor.
GoldFactory’nin kullandığı kötü amaçlı modüller FriHook, SkyHook ve PineHook olarak adlandırılıyor ve bu modüller şunları yapabiliyor:
- Erişilebilirlik hizmetlerini kullanan uygulamaların listesini gizlemek,
- Ekran kaydı tespitini engellemek,
- Android uygulaması imzasını taklit etmek,
- Kurulum kaynağını gizlemek,
- Özel bütünlük belirteci sağlayıcıları uygulamak,
- Mağdurların banka hesap bilgilerini ele geçirmek.
Hedef Bölgeler ve Zaman Çizelgesi
İlk vakalar Tayland’da tespit edilirken, saldırılar 2024 sonu ve 2025 başında Vietnam’a, 2025 ortalarından itibaren ise Endonezya’ya yayıldı. Endonezya’da 300’den fazla benzersiz değiştirilmiş bankacılık uygulaması örneği ve toplamda 3.000’den fazla zararlı artefakt bulundu. Bu uygulamaların yaklaşık %63’ü Endonezya pazarına yönelik olarak tasarlandı.
Özellikle Vietnam’da, kamu elektrik şirketi EVN’i taklit eden dolandırıcılar, mağdurları gecikmiş elektrik faturalarını ödemeye zorladı. Bu süreçte Zalo üzerinden uygulama indirme bağlantıları gönderildi ve mağdurlar kandırıldı.
GoldFactory’nin Teknik Evrimi ve Yeni Varyantlar
GoldFactory, daha önce GoldPickaxe, GoldDigger ve GoldDiggerPlus gibi Android ve iOS kötü amaçlı yazılımlarını kullanmasıyla biliniyor. Ancak son dönemde iOS trojanlarını bırakarak, mağdurlara Android cihaz ödünç almalarını önerdiği gözlemlendi. Bu değişikliğin sebebi iOS platformundaki sıkı güvenlik önlemleri olarak değerlendiriliyor.
Son analizlerde, Gigabud’un halefi olduğu düşünülen Gigaflower adlı yeni bir Android kötü amaçlı yazılım varyantı ortaya çıktı. Bu varyant, WebRTC teknolojisiyle gerçek zamanlı ekran ve cihaz etkinliği akışı sağlıyor, 48 komut destekliyor ve erişilebilirlik hizmetlerini tuş kaydı, kullanıcı arayüzü okuma ve jest gerçekleştirme için kullanıyor. Ayrıca, sistem güncellemeleri, PIN istemleri ve hesap kayıtları gibi sahte ekranlar göstererek kişisel verileri topluyor. Yerleşik metin tanıma algoritmasıyla kimlik kartlarından veri çıkarma ve QR kod tarama özellikleri de geliştiriliyor.
Siber Güvenlik Ekipleri İçin Pratik Öneriler
- Mobil cihazlarda yüklenen bankacılık uygulamalarının imza ve bütünlüğünü düzenli olarak doğrulayın.
- Phishing ve sosyal mühendislik saldırılarına karşı kullanıcı eğitimlerini artırın.
- Android erişilebilirlik hizmetlerinin kullanımını denetleyerek anormal aktiviteleri tespit edin.
- EDR ve SIEM çözümlerinde FriHook, SkyHook ve PineHook gibi bağlama tekniklerini tespit edecek kurallar oluşturun.
- Uygulama mağazası dışından yüklenen APK dosyalarına karşı mobil cihaz yönetimi (MDM) politikaları uygulayın.
- Olay müdahale süreçlerinde, zararlı yazılım bulaşma zincirini hızlıca analiz etmek için log türlerini çeşitlendirin (örneğin, uygulama yükleme, erişilebilirlik servisleri, ağ trafiği).
- Zero Trust mimarisi kapsamında, mobil uygulama erişimlerini ve cihaz güvenlik durumlarını sürekli izleyin.
- Phishing bağlantılarını engellemek için ağ segmentasyonu ve DNS filtreleme uygulamalarını güçlendirin.
Sonuç ve Değerlendirme
GoldFactory’nin kampanyası, meşru bankacılık uygulamalarının kodlarına doğrudan kötü amaçlı modüller enjekte edilerek gerçekleştirilen sofistike bir saldırı örneği. Frida, Dobby ve Pine gibi açık kaynaklı bağlama çerçevelerinin kullanılması, tespit edilmesini zorlaştırırken operasyonların hızlı ölçeklenmesine olanak tanıyor. Bu durum, mobil bankacılık uygulamalarının güvenlik kontrollerinin güçlendirilmesi ve kullanıcıların e-posta güvenliği ile sosyal mühendislik saldırılarına karşı bilinçlendirilmesi gerekliliğini ortaya koyuyor. Ayrıca, bulut güvenliği ve ağ segmentasyonu gibi önlemlerle saldırı yüzeyi azaltılabilir.