14.07.2017 TR-17-084 (HGS Oltalama Mobil Uygulaması)

TR-17-084 (HGS Oltalama Mobil Uygulaması)

 

Genel Bilgi

Saldırganlar tarafından PTT A.Ş.’ye ait HGS uygulamasının sahte Android uygulamasının yapılarak Google Play’e yüklendiği ve oltalama saldırısı yapıldığı tespit edilmiştir.

Etki

Kendini PTT A.Ş. tarafından Google Play’e yüklenen HGS Android uygulaması gibi taklit ederek kullanıcıların kredi kartı bilgilerini çalmaya yönelik eylemlerde bulunmasının yanı sıra telefondaki kısa mesajlara erişmek ve sistem ayarlarında değişiklik yapma izinleri istediği gözlemlenmiştir. Asıl uygulamanın Google Play’e PTT A.Ş(.) tarafından yüklendiği, taklit uygulamanın ise PTT A.Ş tarafından (Ş harfinin sonunda nokta olmadan) oltalama saldırısı amacıyla yüklendiği tespit edilmiştir.

Çözüm

Ulusal Siber Olaylara Müdahale Merkezi (USOM) tarafından uygulamanın komuta kontrol sunucusuna erişimi engellenmiş olup, USOM kullanıcılara;

1)    Cep telefonlarında bulunan mevcut HGS uygulamasıyla https://play.google.com/store/apps/details?id=tr.com.ulkem.hgs adresinde bulunan HGS uygulamasının aynı olup olmadığının doğrulanmasını,

2)    Bu doğrulama esnasında uygulamayı yükleyen yayıncının ismine dikkat edilmesi ve doğru yayıncının PTT A.Ş. sahte yayıncının PTT A.Ş (Ş’den sonra nokta yok) olduğunun dikkat edilmesini,

3)    Uygulama tarafından istenen izinler listesine (sahte uygulama; kısa mesajları okuma/alma, başlangıçta çalışma izinleri istemektedir)dikkat edilmesini,

4)    Sahte uygulamayı indiren ve kredi kartı bilgilerini giren kullanıcıların bankaları ile iletişime geçerek gerekli önlemleri almalarını tavsiye etmektedir.

Sahte uygulamanın SHA-256 hashi: 871bacfaad04d26c8dca8cc23a72959c36cfe69a6649cc2c4fad2621ab6abfe8

Orijinal uygulama ile sahte uygulama arasındaki farkların grafiği: https://www.usom.gov.tr/img/yuklenen/HGS.png

 

2017-07-14