enflasyonemeklilikötvdövizakpartichpmhp
DOLAR
34,5424
EURO
36,0063
ALTIN
3.006,41
BIST
9.549,89
Adana Adıyaman Afyon Ağrı Aksaray Amasya Ankara Antalya Ardahan Artvin Aydın Balıkesir Bartın Batman Bayburt Bilecik Bingöl Bitlis Bolu Burdur Bursa Çanakkale Çankırı Çorum Denizli Diyarbakır Düzce Edirne Elazığ Erzincan Erzurum Eskişehir Gaziantep Giresun Gümüşhane Hakkari Hatay Iğdır Isparta İstanbul İzmir K.Maraş Karabük Karaman Kars Kastamonu Kayseri Kırıkkale Kırklareli Kırşehir Kilis Kocaeli Konya Kütahya Malatya Manisa Mardin Mersin Muğla Muş Nevşehir Niğde Ordu Osmaniye Rize Sakarya Samsun Siirt Sinop Sivas Şanlıurfa Şırnak Tekirdağ Tokat Trabzon Tunceli Uşak Van Yalova Yozgat Zonguldak
İstanbul
Parçalı Bulutlu
9°C
İstanbul
9°C
Parçalı Bulutlu
Pazar Az Bulutlu
10°C
Pazartesi Parçalı Bulutlu
11°C
Salı Çok Bulutlu
11°C
Çarşamba Az Bulutlu
13°C

Casus yazılımın hedefi Filistin

Arid Viper grubu yine Orta Doğu’yu hedef aldı, Filistin uygulamasını AridSpy casus yazılımıyla zehirledi

Casus yazılımın hedefi Filistin
24.06.2024
2
A+
A-

Dijital güvenlik şirketi ESET, Mısır ve Filistin’deki Android kullanıcılarına trojanlaştırılmış uygulamalar yayan Arid Viper casusluk kampanyalarını keşfetti.  

ESET Research, ESET’in AridSpy adını verdiği çok aşamalı Android zararlı yazılımının beş özel web sitesi üzerinden dağıtıldığını paylaştı. ESET, AridSpy’ın hem Filistin hem de Mısır’da ortaya çıktığını tespit etti ve bunu Arid Viper APT grubuna atfettiğini duyurdu. Kullanıcı veri casusluğuna odaklanan uzaktan kontrol edilen bir Truva atı olan AridSpy,  diğer işlevlerinin yanı sıra mesajlaşma uygulamalarını gözetleyebiliyor ve cihazdan içerik sızdırabiliyor.

 

ESET araştırmacıları, Android kullanıcılarını hedef almak için trojanlaştırılmış uygulamalar kullanan beş kampanya belirledi. Arid Viper APT grubu tarafından yürütüldüğü düşünülen bu kampanyaların 2022 yılında başladığı belirtiliyor. ESET’in AridSpy adını verdiği çok aşamalı Android casus yazılımları, tespit edilmekten kaçınmasına yardımcı olmak için Komuta ve Kontrol (C&C) sunucusundan birinci ve ikinci aşama yükleri indiriyor. Zararlı yazılım, çeşitli mesajlaşma uygulamalarını, bir iş fırsatı uygulamasını ve bir Filistin Sivil Kayıt uygulamasını taklit eden özel web siteleri aracılığıyla dağıtılıyor. Bunlar genellikle AridSpy’ın zararlı kodunun eklenmesiyle trojanlaştırılmış mevcut uygulamalardır. ESET Research, kullanıcı verilerinin casusluğuna odaklanan uzaktan kontrol edilen AridSpy Trojan’ını Filistin ve Mısır’da tespit etti.

 

APT-C-23, Desert Falcons veya Two-tailed Scorpion olarak da bilinen Arid Viper, Orta Doğu’daki ülkeleri hedef almasıyla bilinen bir siber casusluk grubudur; grup yıllar boyunca Android, iOS ve Windows platformları için geniş bir kötü amaçlı yazılım cephaneliğiyle dikkat çekmiştir.  Taklit web siteleri aracılığıyla sağlanan etkilenen üç uygulama, AridSpy casus yazılımıyla truva atı haline getirilmiş yasal uygulamalar. Bu kötü niyetli uygulamalar hiçbir zaman Google Play üzerinden sunulmamış, yalnızca üçüncü taraf sitelerden indirilmiştir. Bu uygulamaları yüklemek için potansiyel kurbandan, bilinmeyen kaynaklardan uygulama yüklemek için varsayılan olmayan Android seçeneğini etkinleştirmesi istenir. Filistin’de kaydedilen casus yazılım örneklerinin çoğunluğu kötü amaçlı Palestinian Civil Registry uygulaması içindi.

 

AridSpy’ı keşfeden ESET araştırmacısı Lukáš Štefanko “Tehdit aktörleri, cihaza ilk erişimi elde etmek için potansiyel kurbanlarını sahte ama işlevsel bir uygulama yüklemeye ikna etmeye çalışıyor. Hedef, sitenin indirme düğmesine tıkladığında aynı sunucuda barındırılan myScript.js, kötü amaçlı dosya için doğru indirme yolunu oluşturmak üzere çalıştırılır,” diye açıklıyor ve kullanıcıların nasıl etkilendiğini anlatıyor. Kampanya, StealthChat’in truva atı haline getirilmiş sürümlerini içeren kötü amaçlı bir Android mesajlaşma uygulaması olan LapizaChat’i içeriyordu. ESET, LapizaChat’ten sonra AridSpy’ı dağıtmaya başlayan ve bu kez NortirChat ve ReblyChat adlı mesajlaşma uygulamaları gibi görünen iki kampanya daha tespit etti. NortirChat yasal Session mesajlaşma uygulamasını temel alırken ReblyChat yasal Voxer Walkie Talkie Messenger’ı temel alıyor. 

 

Öte yandan, Filistin Nüfus Kayıt uygulaması daha önce Google Play’de bulunan bir uygulamadan esinlenmişti. Araştırmamıza göre çevrimiçi olarak sunulan kötü amaçlı uygulama, Google Play’deki uygulamanın truva atı haline getirilmiş bir sürümü değil; bunun yerine, bilgi almak için bu uygulamanın yasal sunucusunu kullanır. Bu da Arid Viper’ın bu uygulamanın işlevselliğinden esinlendiği ancak meşru sunucuyla iletişim kuran kendi istemci katmanını yarattığı anlamına geliyor. Büyük olasılıkla Arid Viper, Google Play’deki yasal Android uygulamasına ters mühendislik uyguladı ve kurbanların verilerini almak için sunucusunu kullandı. ESET’in tespit ettiği son kampanya, AridSpy’ı bir iş teklifi uygulaması olarak dağıtıyor.

 

AridSpy ağ tespitinden, özellikle de C&C iletişiminden kaçınmayı amaçlayan bir özelliğe sahip. AridSpy’ın kodda belirttiği gibi kendini devre dışı bırakabilir. Veri sızıntısı ya Firebase C&C sunucusundan bir komut alınarak ya da özel olarak tanımlanmış bir olay tetiklendiğinde başlatılır. Bu olaylar arasında internet bağlantısının değişmesi, uygulamanın yüklenmesi ya da kaldırılması, bir telefon görüşmesi yapılması ya da alınması, bir SMS mesajının gönderilmesi ya da alınması, bir şarj cihazının bağlanması ya da bağlantısının kesilmesi ya da cihazın yeniden başlatılması sayılabilir. Bu olaylardan herhangi biri meydana gelirse AridSpy çeşitli kurban verilerini toplamaya başlar ve bunları sızma C&C sunucusuna yükler. Cihaz konumu, kişi listeleri, arama kayıtları, metin mesajları, fotoğrafların küçük resimleri, kaydedilen videoların küçük resimleri, kaydedilen telefon görüşmeleri, kaydedilen çevre sesleri, kötü amaçlı yazılım tarafından çekilen fotoğraflar, değiş tokuş edilen mesajları ve kullanıcı kişilerini içeren WhatsApp veritabanları, varsayılan tarayıcıdan ve yüklüyse Chrome, Samsung Browser ve Firefox uygulamalarından yer imleri ve arama geçmişi, harici depolama alanından dosyalar, Facebook Messenger ve WhatsApp iletişimi ve diğerlerinin yanı sıra alınan tüm bildirimleri toplayabilir.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Yorumlar

Henüz yorum yapılmamış. İlk yorumu yukarıdaki form aracılığıyla siz yapabilirsiniz.