CASUS YAZILIMIN HEDEFİ FİLİSTİN
Arid Viper grubu yine Orta Doğu'yu hedef aldı...
24 Haziran 2024 Pazartesi 10:44
Dijital güvenlik şirketi ESET, Mısır ve Filistin'deki Android kullanıcılarına trojanlaştırılmış uygulamalar yayan Arid Viper casusluk kampanyalarını keşfetti.
ESET Research, ESET'in AridSpy adını verdiği çok aşamalı Android zararlı yazılımının beş özel web sitesi üzerinden dağıtıldığını paylaştı. ESET, AridSpy'ın hem Filistin hem de Mısır'da ortaya çıktığını tespit etti ve bunu Arid Viper APT grubuna atfettiğini duyurdu. Kullanıcı veri casusluğuna odaklanan uzaktan kontrol edilen bir Truva atı olan AridSpy, diğer işlevlerinin yanı sıra mesajlaşma uygulamalarını gözetleyebiliyor ve cihazdan içerik sızdırabiliyor.
ESET araştırmacıları, Android kullanıcılarını hedef almak için trojanlaştırılmış uygulamalar kullanan beş kampanya belirledi. Arid Viper APT grubu tarafından yürütüldüğü düşünülen bu kampanyaların 2022 yılında başladığı belirtiliyor. ESET'in AridSpy adını verdiği çok aşamalı Android casus yazılımları, tespit edilmekten kaçınmasına yardımcı olmak için Komuta ve Kontrol (C&C) sunucusundan birinci ve ikinci aşama yükleri indiriyor. Zararlı yazılım, çeşitli mesajlaşma uygulamalarını, bir iş fırsatı uygulamasını ve bir Filistin Sivil Kayıt uygulamasını taklit eden özel web siteleri aracılığıyla dağıtılıyor. Bunlar genellikle AridSpy'ın zararlı kodunun eklenmesiyle trojanlaştırılmış mevcut uygulamalardır. ESET Research, kullanıcı verilerinin casusluğuna odaklanan uzaktan kontrol edilen AridSpy Trojan'ını Filistin ve Mısır'da tespit etti.
APT-C-23, Desert Falcons veya Two-tailed Scorpion olarak da bilinen Arid Viper, Orta Doğu'daki ülkeleri hedef almasıyla bilinen bir siber casusluk grubudur; grup yıllar boyunca Android, iOS ve Windows platformları için geniş bir kötü amaçlı yazılım cephaneliğiyle dikkat çekmiştir. Taklit web siteleri aracılığıyla sağlanan etkilenen üç uygulama, AridSpy casus yazılımıyla truva atı haline getirilmiş yasal uygulamalar. Bu kötü niyetli uygulamalar hiçbir zaman Google Play üzerinden sunulmamış, yalnızca üçüncü taraf sitelerden indirilmiştir. Bu uygulamaları yüklemek için potansiyel kurbandan, bilinmeyen kaynaklardan uygulama yüklemek için varsayılan olmayan Android seçeneğini etkinleştirmesi istenir. Filistin'de kaydedilen casus yazılım örneklerinin çoğunluğu kötü amaçlı Palestinian Civil Registry uygulaması içindi.
AridSpy'ı keşfeden ESET araştırmacısı Lukáš Štefanko "Tehdit aktörleri, cihaza ilk erişimi elde etmek için potansiyel kurbanlarını sahte ama işlevsel bir uygulama yüklemeye ikna etmeye çalışıyor. Hedef, sitenin indirme düğmesine tıkladığında aynı sunucuda barındırılan myScript.js, kötü amaçlı dosya için doğru indirme yolunu oluşturmak üzere çalıştırılır," diye açıklıyor ve kullanıcıların nasıl etkilendiğini anlatıyor. Kampanya, StealthChat'in truva atı haline getirilmiş sürümlerini içeren kötü amaçlı bir Android mesajlaşma uygulaması olan LapizaChat'i içeriyordu. ESET, LapizaChat'ten sonra AridSpy'ı dağıtmaya başlayan ve bu kez NortirChat ve ReblyChat adlı mesajlaşma uygulamaları gibi görünen iki kampanya daha tespit etti. NortirChat yasal Session mesajlaşma uygulamasını temel alırken ReblyChat yasal Voxer Walkie Talkie Messenger'ı temel alıyor.
Öte yandan, Filistin Nüfus Kayıt uygulaması daha önce Google Play'de bulunan bir uygulamadan esinlenmişti. Araştırmamıza göre çevrimiçi olarak sunulan kötü amaçlı uygulama, Google Play'deki uygulamanın truva atı haline getirilmiş bir sürümü değil; bunun yerine, bilgi almak için bu uygulamanın yasal sunucusunu kullanır. Bu da Arid Viper'ın bu uygulamanın işlevselliğinden esinlendiği ancak meşru sunucuyla iletişim kuran kendi istemci katmanını yarattığı anlamına geliyor. Büyük olasılıkla Arid Viper, Google Play'deki yasal Android uygulamasına ters mühendislik uyguladı ve kurbanların verilerini almak için sunucusunu kullandı. ESET'in tespit ettiği son kampanya, AridSpy'ı bir iş teklifi uygulaması olarak dağıtıyor.
AridSpy ağ tespitinden, özellikle de C&C iletişiminden kaçınmayı amaçlayan bir özelliğe sahip. AridSpy'ın kodda belirttiği gibi kendini devre dışı bırakabilir. Veri sızıntısı ya Firebase C&C sunucusundan bir komut alınarak ya da özel olarak tanımlanmış bir olay tetiklendiğinde başlatılır. Bu olaylar arasında internet bağlantısının değişmesi, uygulamanın yüklenmesi ya da kaldırılması, bir telefon görüşmesi yapılması ya da alınması, bir SMS mesajının gönderilmesi ya da alınması, bir şarj cihazının bağlanması ya da bağlantısının kesilmesi ya da cihazın yeniden başlatılması sayılabilir. Bu olaylardan herhangi biri meydana gelirse AridSpy çeşitli kurban verilerini toplamaya başlar ve bunları sızma C&C sunucusuna yükler. Cihaz konumu, kişi listeleri, arama kayıtları, metin mesajları, fotoğrafların küçük resimleri, kaydedilen videoların küçük resimleri, kaydedilen telefon görüşmeleri, kaydedilen çevre sesleri, kötü amaçlı yazılım tarafından çekilen fotoğraflar, değiş tokuş edilen mesajları ve kullanıcı kişilerini içeren WhatsApp veritabanları, varsayılan tarayıcıdan ve yüklüyse Chrome, Samsung Browser ve Firefox uygulamalarından yer imleri ve arama geçmişi, harici depolama alanından dosyalar, Facebook Messenger ve WhatsApp iletişimi ve diğerlerinin yanı sıra alınan tüm bildirimleri toplayabilir.
- Çalan her telefonu açmayınTelefon dolandırıcılığı neden hala revaçta?19 Kasım 2024 Salı 12:12TEKNOLOJİ
- Türkiye’nin yapay zeka zirvesi başlıyorYapay Zeka Zirvesi’ne sayılı günler kaldı21 Ekim 2024 Pazartesi 10:26TEKNOLOJİ
- Bu yöntemle turistlerden milyonlarca euro çalınmışRezervasyon dolandırıcılığıyla turistlerden milyonlarca euro çalınmış16 Ekim 2024 Çarşamba 18:55TEKNOLOJİ
- İşte en yaygın 10 dolandırıcılık yöntemiKüçük İşletme Sahiplerinin Karşılaştıkları En Yaygın 10 Dolandırıcılık20 Eylül 2024 Cuma 18:48TEKNOLOJİ
- Ses kopya ama tuzak gerçekYeni nesil sosyal mühendislik saldırılarına karşı uyanık olun18 Eylül 2024 Çarşamba 11:45TEKNOLOJİ
- KOBİ’lere fidye tuzağıCosmicbeetle zararlısının arkasında bir Türk mü var?...11 Eylül 2024 Çarşamba 09:55TEKNOLOJİ
- Sahte iPhone 16 tekliflerine dikkatDolandırıcıların yeni iPhone aldatmacasından nasıl yararlandığı ortaya çıktı...09 Eylül 2024 Pazartesi 10:41TEKNOLOJİ
- Takviye ürün dolandırıcılığı arttıTakviye Ürün Dolandırıcılıklarında Görülen En Yaygın Yöntemler...07 Eylül 2024 Cumartesi 09:20TEKNOLOJİ
- Tehlike arama motorları ile yayılıyorKötü amaçlı yazılımlar çevrimiçi reklam ağları ile geniş kitlelere ulaşıyor...06 Eylül 2024 Cuma 10:51TEKNOLOJİ
- Güvenlik açıklarına dikkatSiber casuslar güvenlik açıklarından içeri sızıyor...02 Eylül 2024 Pazartesi 10:49TEKNOLOJİ
- Banka dolandırıcılığına dikkatBankacılık dolandırıcılığından nasıl kaçınılır?...02 Eylül 2024 Pazartesi 09:20TEKNOLOJİ
- Dijital kimlik nasıl korunur?Telefon numarası güvenliği için uzmanlardan stratejiler...31 Ağustos 2024 Cumartesi 09:27TEKNOLOJİ
- Ebeveynler bu tuzağa düşmeyin!Okula dönüş döneminde en sık rastlanan 6 siber tehdit...31 Ağustos 2024 Cumartesi 09:25TEKNOLOJİ
- Siber suçluların en sevdiği saldırıParola sayısı arttıkça, kimlik avı saldırıları cazibesini koruyor...29 Ağustos 2024 Perşembe 10:31TEKNOLOJİ
- İnternet kullanıcıları saldırı altındaSiber saldırganların kullandığı en yaygın 4 manipülasyon yöntemi...26 Ağustos 2024 Pazartesi 09:53TEKNOLOJİ
- Siber suçluların yeni tekniğiKurbanlarının kart bilgilerini kendi telefonlarına aktarıyorlar...23 Ağustos 2024 Cuma 09:18TEKNOLOJİ
- Yapay zekâ oltanın ucundaSiber suçlular yapay zekâyı yem olarak kullanıyor...22 Ağustos 2024 Perşembe 09:18TEKNOLOJİ
- Dolandırıcılar telefon numaranızın peşindeDolandırıcılık endüstrisi büyümeye devam ediyor...21 Ağustos 2024 Çarşamba 10:58TEKNOLOJİ
- Finansal dolandırıcılık artıyorMobil kullanıcılar yeni bir finansal dolandırıcılık ile karşı karşıya...20 Ağustos 2024 Salı 12:31TEKNOLOJİ
- Çalışanlar yapay zekaya güveniyorÇalışanların yüzde 77'si otonom yapay zeka geleceğine güvenmeye başlıyor...17 Ağustos 2024 Cumartesi 10:10TEKNOLOJİ
- Geri
- Ana Sayfa
- Normal Görünüm
- © 2015 Bursa Bakış
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.