• BIST 100

    11146,95%0,74
  • DOLAR

    33,09% 0,31
  • EURO

    36,04% 0,15
  • GRAM ALTIN

    2593,89% 0,95
  • Ç. ALTIN

    4153,76% 1,23

Casus yazılımın hedefi Filistin

Arid Viper grubu yine Orta Doğu'yu hedef aldı, Filistin uygulamasını AridSpy casus yazılımıyla zehirledi

Teknoloji 24.06.2024 09:54:00 0
Casus yazılımın hedefi Filistin

 

 

Casus yazılımın hedefi Filistin 

 

Dijital güvenlik şirketi ESET, Mısır ve Filistin'deki Android kullanıcılarına trojanlaştırılmış uygulamalar yayan Arid Viper casusluk kampanyalarını keşfetti.  

ESET Research, ESET'in AridSpy adını verdiği çok aşamalı Android zararlı yazılımının beş özel web sitesi üzerinden dağıtıldığını paylaştı. ESET, AridSpy'ın hem Filistin hem de Mısır'da ortaya çıktığını tespit etti ve bunu Arid Viper APT grubuna atfettiğini duyurdu. Kullanıcı veri casusluğuna odaklanan uzaktan kontrol edilen bir Truva atı olan AridSpy,  diğer işlevlerinin yanı sıra mesajlaşma uygulamalarını gözetleyebiliyor ve cihazdan içerik sızdırabiliyor.

 

ESET araştırmacıları, Android kullanıcılarını hedef almak için trojanlaştırılmış uygulamalar kullanan beş kampanya belirledi. Arid Viper APT grubu tarafından yürütüldüğü düşünülen bu kampanyaların 2022 yılında başladığı belirtiliyor. ESET'in AridSpy adını verdiği çok aşamalı Android casus yazılımları, tespit edilmekten kaçınmasına yardımcı olmak için Komuta ve Kontrol (C&C) sunucusundan birinci ve ikinci aşama yükleri indiriyor. Zararlı yazılım, çeşitli mesajlaşma uygulamalarını, bir iş fırsatı uygulamasını ve bir Filistin Sivil Kayıt uygulamasını taklit eden özel web siteleri aracılığıyla dağıtılıyor. Bunlar genellikle AridSpy'ın zararlı kodunun eklenmesiyle trojanlaştırılmış mevcut uygulamalardır. ESET Research, kullanıcı verilerinin casusluğuna odaklanan uzaktan kontrol edilen AridSpy Trojan'ını Filistin ve Mısır'da tespit etti.

APT-C-23, Desert Falcons veya Two-tailed Scorpion olarak da bilinen Arid Viper, Orta Doğu'daki ülkeleri hedef almasıyla bilinen bir siber casusluk grubudur; grup yıllar boyunca Android, iOS ve Windows platformları için geniş bir kötü amaçlı yazılım cephaneliğiyle dikkat çekmiştir.  Taklit web siteleri aracılığıyla sağlanan etkilenen üç uygulama, AridSpy casus yazılımıyla truva atı haline getirilmiş yasal uygulamalar. Bu kötü niyetli uygulamalar hiçbir zaman Google Play üzerinden sunulmamış, yalnızca üçüncü taraf sitelerden indirilmiştir. Bu uygulamaları yüklemek için potansiyel kurbandan, bilinmeyen kaynaklardan uygulama yüklemek için varsayılan olmayan Android seçeneğini etkinleştirmesi istenir. Filistin'de kaydedilen casus yazılım örneklerinin çoğunluğu kötü amaçlı Palestinian Civil Registry uygulaması içindi.

 

AridSpy'ı keşfeden ESET araştırmacısı Lukáš Štefanko "Tehdit aktörleri, cihaza ilk erişimi elde etmek için potansiyel kurbanlarını sahte ama işlevsel bir uygulama yüklemeye ikna etmeye çalışıyor. Hedef, sitenin indirme düğmesine tıkladığında aynı sunucuda barındırılan myScript.js, kötü amaçlı dosya için doğru indirme yolunu oluşturmak üzere çalıştırılır," diye açıklıyor ve kullanıcıların nasıl etkilendiğini anlatıyor. Kampanya, StealthChat'in truva atı haline getirilmiş sürümlerini içeren kötü amaçlı bir Android mesajlaşma uygulaması olan LapizaChat'i içeriyordu. ESET, LapizaChat'ten sonra AridSpy'ı dağıtmaya başlayan ve bu kez NortirChat ve ReblyChat adlı mesajlaşma uygulamaları gibi görünen iki kampanya daha tespit etti. NortirChat yasal Session mesajlaşma uygulamasını temel alırken ReblyChat yasal Voxer Walkie Talkie Messenger'ı temel alıyor. 

 

Öte yandan, Filistin Nüfus Kayıt uygulaması daha önce Google Play'de bulunan bir uygulamadan esinlenmişti. Araştırmamıza göre çevrimiçi olarak sunulan kötü amaçlı uygulama, Google Play'deki uygulamanın truva atı haline getirilmiş bir sürümü değil; bunun yerine, bilgi almak için bu uygulamanın yasal sunucusunu kullanır. Bu da Arid Viper'ın bu uygulamanın işlevselliğinden esinlendiği ancak meşru sunucuyla iletişim kuran kendi istemci katmanını yarattığı anlamına geliyor. Büyük olasılıkla Arid Viper, Google Play'deki yasal Android uygulamasına ters mühendislik uyguladı ve kurbanların verilerini almak için sunucusunu kullandı. ESET'in tespit ettiği son kampanya, AridSpy'ı bir iş teklifi uygulaması olarak dağıtıyor.

 

AridSpy ağ tespitinden, özellikle de C&C iletişiminden kaçınmayı amaçlayan bir özelliğe sahip. AridSpy'ın kodda belirttiği gibi kendini devre dışı bırakabilir. Veri sızıntısı ya Firebase C&C sunucusundan bir komut alınarak ya da özel olarak tanımlanmış bir olay tetiklendiğinde başlatılır. Bu olaylar arasında internet bağlantısının değişmesi, uygulamanın yüklenmesi ya da kaldırılması, bir telefon görüşmesi yapılması ya da alınması, bir SMS mesajının gönderilmesi ya da alınması, bir şarj cihazının bağlanması ya da bağlantısının kesilmesi ya da cihazın yeniden başlatılması sayılabilir. Bu olaylardan herhangi biri meydana gelirse AridSpy çeşitli kurban verilerini toplamaya başlar ve bunları sızma C&C sunucusuna yükler. Cihaz konumu, kişi listeleri, arama kayıtları, metin mesajları, fotoğrafların küçük resimleri, kaydedilen videoların küçük resimleri, kaydedilen telefon görüşmeleri, kaydedilen çevre sesleri, kötü amaçlı yazılım tarafından çekilen fotoğraflar, değiş tokuş edilen mesajları ve kullanıcı kişilerini içeren WhatsApp veritabanları, varsayılan tarayıcıdan ve yüklüyse Chrome, Samsung Browser ve Firefox uygulamalarından yer imleri ve arama geçmişi, harici depolama alanından dosyalar, Facebook Messenger ve WhatsApp iletişimi ve diğerlerinin yanı sıra alınan tüm bildirimleri toplayabilir.

 


Saçlara kreatin ve botoks uygulaması nasıl yapılır?

Zsa Zsa ZsuYeni mağazasını Çeşme’de açtı

Türkiye SMA Vakfı, SMA Hastalarının Taleplerini Meclis’e Taşıdı

Kat mülkiyeti kanundaki yasal düzenlemeler nerede kaldı?

Yurtdışı çıkış harcı 500 TL oldu

1.7 milyon emekli zamlı maaşı temmuzda alamayacak

Bitcoin hızlı yükselişle 65.000 dolar seviyesine yaklaştı

Yapay zeka, kurumlarda yeteneğin işlenme biçimini etmiyeyecek

Enerjisa Üretim’de çocuk dostu çalışma alanı ve esnek yan haklar

AKOM’dan İstanbul için sıcak hava uyarısı

Egeli madenciler Ege Bölgesi’nde ihracat artış rekortmeni oldu

Türkiye’nin en büyük müzik ve yaşam festivali 2 Ağustos'ta başlıyor

Sıvı ihtiyacını karşılamak için sadece su içmek yeterli değil

Reflü şikayetlerini azaltmanın 12 yolu

Eyüpsultan’ın mahallelerinde şenlik var

Yaz Sıcakları Beyin Kanamasını Tetikleyebiliyor

Sabancı Üniversitesi 2024 Tanıtım Günleri Başlıyor

YouTube’da video izlerken tuzağa düşmeyin

Devlet'in polisi el öpmeye mi başladı?

İBB’den gençlere tercih desteği

İstanbul Bilgi Üniversitesi’nde mezuniyet heyecanı

İzmir'de elektrik faciası | Polis 6 kişiyi arıyor

Orman yangını faciaya döndü | 3 can kaybı, 4 gözaltı var

İsmet Değirmenci ile Doğanın Suluboya Atölyesi

Milyonlarca genç KPSS'de ter dökerken, AKP'lilere jet hızıyla atama

Kiracısına domuz bağlı işkence yapmış

Sosyal platformlar, yalnızlık hissini tatmin edebiliyor…

Üsküdar'da klasik müzik konser serisi başladı

Popüler doğum şekli | Suda doğum nedir?

Obezite En Sık Bu Hastalıklara Yol Açıyor

Yükleniyor

LİG TABLOSU

Takım O G M B Av P
1.Galatasaray 38 33 2 3 66 102
2.Fenerbahçe 38 31 1 6 68 99
3.Trabzonspor 38 21 13 4 19 67
4.İstanbul Başakşehir 38 18 13 7 14 61
5.Kasımpaşa 38 16 14 8 -3 56
6.Beşiktaş 38 16 14 8 5 56
7.Sivasspor 38 14 12 12 -7 54
8.Alanyaspor 38 12 10 16 3 52
9.Rizespor 38 14 16 8 -10 50
10.Antalyaspor 38 12 13 13 -5 49
11.Gazişehir Gaziantep 38 12 18 8 -7 44
12.Adana Demirspor 38 10 14 14 -7 44
13.Samsunspor 38 11 17 10 -10 43
14.Kayserispor 38 11 15 12 -13 42
15.Hatayspor 38 9 15 14 -7 41
16.Konyaspor 38 9 15 14 -13 41
17.Ankaragücü 38 8 14 16 -6 40
18.Fatih Karagümrük 38 10 18 10 -3 40
19.Pendikspor 38 9 19 10 -31 37
20.İstanbulspor 38 4 27 7 -53 16

YAZARLAR