CASUS YAZILIMIN HEDEFİ FİLİSTİN
Arid Viper grubu yine Orta Doğu'yu hedef aldı...
24 Haziran 2024 Pazartesi 10:44
Dijital güvenlik şirketi ESET, Mısır ve Filistin'deki Android kullanıcılarına trojanlaştırılmış uygulamalar yayan Arid Viper casusluk kampanyalarını keşfetti.
ESET Research, ESET'in AridSpy adını verdiği çok aşamalı Android zararlı yazılımının beş özel web sitesi üzerinden dağıtıldığını paylaştı. ESET, AridSpy'ın hem Filistin hem de Mısır'da ortaya çıktığını tespit etti ve bunu Arid Viper APT grubuna atfettiğini duyurdu. Kullanıcı veri casusluğuna odaklanan uzaktan kontrol edilen bir Truva atı olan AridSpy, diğer işlevlerinin yanı sıra mesajlaşma uygulamalarını gözetleyebiliyor ve cihazdan içerik sızdırabiliyor.
ESET araştırmacıları, Android kullanıcılarını hedef almak için trojanlaştırılmış uygulamalar kullanan beş kampanya belirledi. Arid Viper APT grubu tarafından yürütüldüğü düşünülen bu kampanyaların 2022 yılında başladığı belirtiliyor. ESET'in AridSpy adını verdiği çok aşamalı Android casus yazılımları, tespit edilmekten kaçınmasına yardımcı olmak için Komuta ve Kontrol (C&C) sunucusundan birinci ve ikinci aşama yükleri indiriyor. Zararlı yazılım, çeşitli mesajlaşma uygulamalarını, bir iş fırsatı uygulamasını ve bir Filistin Sivil Kayıt uygulamasını taklit eden özel web siteleri aracılığıyla dağıtılıyor. Bunlar genellikle AridSpy'ın zararlı kodunun eklenmesiyle trojanlaştırılmış mevcut uygulamalardır. ESET Research, kullanıcı verilerinin casusluğuna odaklanan uzaktan kontrol edilen AridSpy Trojan'ını Filistin ve Mısır'da tespit etti.
APT-C-23, Desert Falcons veya Two-tailed Scorpion olarak da bilinen Arid Viper, Orta Doğu'daki ülkeleri hedef almasıyla bilinen bir siber casusluk grubudur; grup yıllar boyunca Android, iOS ve Windows platformları için geniş bir kötü amaçlı yazılım cephaneliğiyle dikkat çekmiştir. Taklit web siteleri aracılığıyla sağlanan etkilenen üç uygulama, AridSpy casus yazılımıyla truva atı haline getirilmiş yasal uygulamalar. Bu kötü niyetli uygulamalar hiçbir zaman Google Play üzerinden sunulmamış, yalnızca üçüncü taraf sitelerden indirilmiştir. Bu uygulamaları yüklemek için potansiyel kurbandan, bilinmeyen kaynaklardan uygulama yüklemek için varsayılan olmayan Android seçeneğini etkinleştirmesi istenir. Filistin'de kaydedilen casus yazılım örneklerinin çoğunluğu kötü amaçlı Palestinian Civil Registry uygulaması içindi.
AridSpy'ı keşfeden ESET araştırmacısı Lukáš Štefanko "Tehdit aktörleri, cihaza ilk erişimi elde etmek için potansiyel kurbanlarını sahte ama işlevsel bir uygulama yüklemeye ikna etmeye çalışıyor. Hedef, sitenin indirme düğmesine tıkladığında aynı sunucuda barındırılan myScript.js, kötü amaçlı dosya için doğru indirme yolunu oluşturmak üzere çalıştırılır," diye açıklıyor ve kullanıcıların nasıl etkilendiğini anlatıyor. Kampanya, StealthChat'in truva atı haline getirilmiş sürümlerini içeren kötü amaçlı bir Android mesajlaşma uygulaması olan LapizaChat'i içeriyordu. ESET, LapizaChat'ten sonra AridSpy'ı dağıtmaya başlayan ve bu kez NortirChat ve ReblyChat adlı mesajlaşma uygulamaları gibi görünen iki kampanya daha tespit etti. NortirChat yasal Session mesajlaşma uygulamasını temel alırken ReblyChat yasal Voxer Walkie Talkie Messenger'ı temel alıyor.
Öte yandan, Filistin Nüfus Kayıt uygulaması daha önce Google Play'de bulunan bir uygulamadan esinlenmişti. Araştırmamıza göre çevrimiçi olarak sunulan kötü amaçlı uygulama, Google Play'deki uygulamanın truva atı haline getirilmiş bir sürümü değil; bunun yerine, bilgi almak için bu uygulamanın yasal sunucusunu kullanır. Bu da Arid Viper'ın bu uygulamanın işlevselliğinden esinlendiği ancak meşru sunucuyla iletişim kuran kendi istemci katmanını yarattığı anlamına geliyor. Büyük olasılıkla Arid Viper, Google Play'deki yasal Android uygulamasına ters mühendislik uyguladı ve kurbanların verilerini almak için sunucusunu kullandı. ESET'in tespit ettiği son kampanya, AridSpy'ı bir iş teklifi uygulaması olarak dağıtıyor.
AridSpy ağ tespitinden, özellikle de C&C iletişiminden kaçınmayı amaçlayan bir özelliğe sahip. AridSpy'ın kodda belirttiği gibi kendini devre dışı bırakabilir. Veri sızıntısı ya Firebase C&C sunucusundan bir komut alınarak ya da özel olarak tanımlanmış bir olay tetiklendiğinde başlatılır. Bu olaylar arasında internet bağlantısının değişmesi, uygulamanın yüklenmesi ya da kaldırılması, bir telefon görüşmesi yapılması ya da alınması, bir SMS mesajının gönderilmesi ya da alınması, bir şarj cihazının bağlanması ya da bağlantısının kesilmesi ya da cihazın yeniden başlatılması sayılabilir. Bu olaylardan herhangi biri meydana gelirse AridSpy çeşitli kurban verilerini toplamaya başlar ve bunları sızma C&C sunucusuna yükler. Cihaz konumu, kişi listeleri, arama kayıtları, metin mesajları, fotoğrafların küçük resimleri, kaydedilen videoların küçük resimleri, kaydedilen telefon görüşmeleri, kaydedilen çevre sesleri, kötü amaçlı yazılım tarafından çekilen fotoğraflar, değiş tokuş edilen mesajları ve kullanıcı kişilerini içeren WhatsApp veritabanları, varsayılan tarayıcıdan ve yüklüyse Chrome, Samsung Browser ve Firefox uygulamalarından yer imleri ve arama geçmişi, harici depolama alanından dosyalar, Facebook Messenger ve WhatsApp iletişimi ve diğerlerinin yanı sıra alınan tüm bildirimleri toplayabilir.
- En yaygın EURO 2024 dolandırıcılıklarıEURO 2024 sırasında internette nasıl güvende kalınır?...28 Haziran 2024 Cuma 12:04TEKNOLOJİ
- Yapay zekâ giderek kötüye kullanılıyorYapay zekâ araçları para ve bilgi çalmak için kullanılıyor...28 Haziran 2024 Cuma 09:05TEKNOLOJİ
- Sağlığınızı da verilerinizi de riske atmayınTıbbi kayıtlar siber suç dünyasında kredi kartı bilgilerinin 20 katı fiyatına alıcı bulabiliyor...26 Haziran 2024 Çarşamba 13:50TEKNOLOJİ
- KOBİ’lerde siber enfeksiyonlar arttıMicrosoft Excel saldırıları yeniden canlandı...26 Haziran 2024 Çarşamba 10:56TEKNOLOJİ
- Çocukların karşılaştığı siber tehditlerEbeveynlerin çevrimiçi güvenliği sağlamak için atabilecekleri adımlar...25 Haziran 2024 Salı 11:04TEKNOLOJİ
- Casus yazılımın hedefi FilistinArid Viper grubu yine Orta Doğu'yu hedef aldı...24 Haziran 2024 Pazartesi 10:44TEKNOLOJİ
- En yaygın mobil tehditlerMobil tehditleri hafife almayın...22 Haziran 2024 Cumartesi 09:10TEKNOLOJİ
- Çocuklarınızı internette yalnız bırakmayınEbeveynler ne yapabilir, çocuklarını dijital dünyada nasıl koruyabilir?...21 Haziran 2024 Cuma 11:13TEKNOLOJİ
- Veri sızıntısında yapmanız gerekenlerUzmanlardan tavsiyeler...20 Haziran 2024 Perşembe 11:42TEKNOLOJİ
- Sahte iş ilanları nasıl anlaşılır?Dolandırıcıların tuzağına düşmeyin...20 Haziran 2024 Perşembe 09:36TEKNOLOJİ
- Sosyal medya hesabınızı kaptırmayınDolandırıcıların tatil yapmadığını unutmayın...18 Haziran 2024 Salı 11:44TEKNOLOJİ
- Yapılan 5 güvenlik hatasıSosyal medyada yapılan 5 güvenlik hatası...13 Haziran 2024 Perşembe 10:49TEKNOLOJİ
- Tatilcileri hedef alan tehditler!Seyahat dolandırıcılarının tuzağına düşmeyin...13 Haziran 2024 Perşembe 10:06TEKNOLOJİ
- İş dünyasında yeni krizÇalışan bağlılığı azalıyor!...12 Haziran 2024 Çarşamba 12:45TEKNOLOJİ
- Elektronik teknolojilerinde yeni trendYapay Zeka Elektronik Sektöründe Etkisini Artırıyor...12 Haziran 2024 Çarşamba 11:44TEKNOLOJİ
- Siber güvenlik spot ışığı altındaHalka açık uygulamaların arkasına gizlenen risklere dikkat...12 Haziran 2024 Çarşamba 09:14TEKNOLOJİ
- Kimlik bilgilerini sızdırmamanın yollarıKimlik bilgilerinin güvenliği gün geçtikçe daha büyük bir sorun haline geliyor...07 Haziran 2024 Cuma 13:43TEKNOLOJİ
- Yerli ve milli şirketlere hayati uyarıTürkiye'deki yerli ve milli şirketlere siber saldırı uyarısı...06 Haziran 2024 Perşembe 13:18TEKNOLOJİ
- Bungalov, kiralayacaklar dikkatTatilde bungalov veya tiny house dolandırıcılıkları uyarısı...05 Haziran 2024 Çarşamba 12:05TEKNOLOJİ
- Dolandırıcılar otelleri hedef aldıOtelleri Hedef Alan Yeni Dolandırıcılık Planı...05 Haziran 2024 Çarşamba 11:10TEKNOLOJİ
- Geri
- Ana Sayfa
- Normal Görünüm
- © 2015 Bursa Bakış
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.