Dijital güvenlik firması ESET, Arid Viper'ın Truva Atı haline getirilmiş uygulamaları Mısır ve Filistin'deki Android kullanıcılarına yayan casusluk kampanyalarını ortaya çıkardı. ESET Research, ESET'in AridSpy adını verdiği çok aşamalı Android kötü amaçlı yazılımının beş özel web sitesi aracılığıyla dağıtıldığını paylaştı. ESET, AridSpy'ın hem Filistin'de hem de Mısır'da ortaya çıktığını tespit etti ve bunu Arid Viper APT grubuna bağladı. Kullanıcı verilerini gözetlemeye odaklanan, uzaktan kontrol edilen bir Trojan olan AridSpy, diğer işlevlerin yanı sıra mesajlaşma uygulamalarını gözetleyebilir ve cihazdan içerik çıkarabilir. ESET araştırmacıları, Android kullanıcılarını hedeflemek için Truva Atı haline getirilmiş uygulamaları kullanan beş kampanya belirledi. Arid Viper APT grubu tarafından yürütüldüğü düşünülen bu kampanyaların 2022 yılında başladığını da belirtelim. ESET'in AridSpy adını verdiği çok aşamalı Android casus yazılımı, birinci ve ikinci aşama payloadlarını Komuta Kontrol'den (C&C) indiriyor. Algılanmayı önlemek için sunucu. Kötü amaçlı yazılım, çeşitli mesajlaşma uygulamalarını, kariyer uygulamasını ve Filistin nüfus kayıt uygulamasını taklit eden özel web siteleri aracılığıyla dağıtılıyor. Bunlar genellikle AridSpy'ın kötü amaçlı kodunun eklenmesi yoluyla Truva atlarının bulaştığı mevcut uygulamalardır. ESET Araştırma, Filistin ve Mısır'da kullanıcı verilerini gözetlemeye odaklanan, uzaktan kontrol edilen AridSpy Truva Atı'nı tespit etti. APT-C-23, Çöl Şahinleri veya İki Kuyruklu Akrep olarak da bilinen Kurak Engerek, Orta Doğu ülkelerini hedef almasıyla bilinen bir siber casusluk grubudur; Grup, yıllar içinde Android, iOS ve Windows platformlarına yönelik geniş kötü amaçlı yazılım cephaneliğiyle dikkat çekti. Sahte web siteleri aracılığıyla dağıtılan, etkilenen üç uygulama, AridSpy casus yazılımının Truva atı bulaştırdığı meşru uygulamalardır. Bu kötü amaçlı uygulamalar hiçbir zaman Google Play aracılığıyla kullanıma sunulmadı, yalnızca üçüncü taraf sitelerden indirildi. Bu uygulamaları yüklemek için potansiyel kurbandan, bilinmeyen kaynaklardan uygulama yüklemeye yönelik varsayılan olmayan Android seçeneğini etkinleştirmesi istenir. Filistin'de kayıtlı casus yazılım örneklerinin çoğu, kötü niyetli Filistin Sivil Kayıt uygulamasına yönelikti. Lukáš Štefanko, AridSpy'ı keşfeden ESET araştırmacısı “Tehdit aktörleri, potansiyel kurbanları cihaza ilk erişim sağlamak için sahte ama işlevsel bir uygulama yüklemeye ikna etmeye çalışıyor. Kurban sitenin indirme düğmesine tıkladığında, aynı sunucuda barındırılan myScript.js doğru uygulamayı oluşturmak için çalıştırılıyor. Kötü amaçlı dosyanın indirme yolu” diye açıklıyor ve kullanıcıların nasıl etkilendiğini anlatıyor. Kampanya, StealthChat'in truva atı haline getirilmiş sürümlerini içeren kötü amaçlı bir Android mesajlaşma uygulaması olan LapizaChat'i içeriyordu. ESET, LapizaChat'in ardından AridSpy'ı dağıtmaya başlayan iki kampanya daha tespit etti; bu sefer bunların NortirChat ve ReblyChat adlı mesajlaşma uygulamaları olduğu görülüyor. NortirChat yasal mesajlaşma uygulaması Session'ı, ReblyChat ise yasal Voxer Walkie Talkie Messenger'ı temel alıyor. Öte yandan Filistin Nüfus Kayıt uygulaması, daha önce Google Play'de bulunan bir uygulamadan ilham alınarak tasarlandı. Araştırmamıza göre çevrimiçi olarak sunulan kötü amaçlı uygulama, Google Play'deki uygulamanın truva atı haline getirilmiş bir sürümü değil; bunun yerine bilgi almak için bu uygulamanın meşru sunucusunu kullanır. Bu, Arid Viper'ın bu uygulamanın işlevselliğinden ilham aldığı ancak meşru sunucuyla iletişim kuran kendi istemci katmanını oluşturduğu anlamına gelir. Büyük olasılıkla Arid Viper, Google Play'deki meşru Android uygulamasını tersine mühendislikle tasarladı ve kurbanların verilerini kurtarmak için sunucusunu kullandı. ESET tarafından tespit edilen en son kampanya, AridSpy'ı bir iş ilanı uygulaması olarak kullanıyor. AridSpy, ağ tespitinden, özellikle de C&C iletişiminden kaçmayı amaçlayan bir özelliğe sahiptir. AridSpy'ın kodda belirttiği gibi kendisini devre dışı bırakabilir. Veri sızıntısı, Firebase C&C sunucusundan bir komut alındığında veya özel olarak tanımlanmış bir olay tetiklendiğinde tetiklenir. Bu olaylar arasında İnternet bağlantınızın değiştirilmesi, bir uygulamanın yüklenmesi veya kaldırılması, telefon görüşmesi yapılması veya alınması, SMS mesajı gönderilmesi veya alınması, şarj cihazının bağlanması veya bağlantısının kesilmesi veya cihazın yeniden başlatılması yer alabilir. Bu olaylardan herhangi biri meydana gelirse, AridSpy kurbanlar hakkında çeşitli veriler toplamaya başlar ve bunları penetrasyon C&C sunucusuna yükler. Cihaz konumu, kişi listeleri, çağrı kayıtları, kısa mesajlar, fotoğraf küçük resimleri, kayıtlı video küçük resimleri, kayıtlı telefon görüşmeleri, kayıtlı ortam sesleri, kötü amaçlı yazılım tarafından çekilen fotoğraflar, varsayılan tarayıcıdan alınan mesajları ve kullanıcı kişilerini içeren WhatsApp veritabanları ve kurulu olması durumunda, Chrome, Samsung tarayıcıları ve Firefox uygulamalarından yer imleri ve arama geçmişi, harici depolama cihazlarındaki dosyalar, Facebook Messenger ve WhatsApp iletişimleri dahil olmak üzere alınan tüm bildirimleri toplayın. Kaynak: (guzelhaber.net) Güzel Haber Masası
—–Sponsorlu Bağlantılar—–
—–Sponsorlu Bağlantılar—–