• BIST 100

    9977,94%1,13
  • DOLAR

    35,54% 0,38
  • EURO

    36,54% -0,16
  • GRAM ALTIN

    3088,94% -0,13
  • Ç. ALTIN

    4952,22% 0,14

Casus yazılımın hedefi Filistin

Arid Viper grubu yine Orta Doğu'yu hedef aldı, Filistin uygulamasını AridSpy casus yazılımıyla zehirledi

Teknoloji 24.06.2024 09:54:00
Casus yazılımın hedefi Filistin

 

 

Casus yazılımın hedefi Filistin 

 

Dijital güvenlik şirketi ESET, Mısır ve Filistin'deki Android kullanıcılarına trojanlaştırılmış uygulamalar yayan Arid Viper casusluk kampanyalarını keşfetti.  

ESET Research, ESET'in AridSpy adını verdiği çok aşamalı Android zararlı yazılımının beş özel web sitesi üzerinden dağıtıldığını paylaştı. ESET, AridSpy'ın hem Filistin hem de Mısır'da ortaya çıktığını tespit etti ve bunu Arid Viper APT grubuna atfettiğini duyurdu. Kullanıcı veri casusluğuna odaklanan uzaktan kontrol edilen bir Truva atı olan AridSpy,  diğer işlevlerinin yanı sıra mesajlaşma uygulamalarını gözetleyebiliyor ve cihazdan içerik sızdırabiliyor.

 

ESET araştırmacıları, Android kullanıcılarını hedef almak için trojanlaştırılmış uygulamalar kullanan beş kampanya belirledi. Arid Viper APT grubu tarafından yürütüldüğü düşünülen bu kampanyaların 2022 yılında başladığı belirtiliyor. ESET'in AridSpy adını verdiği çok aşamalı Android casus yazılımları, tespit edilmekten kaçınmasına yardımcı olmak için Komuta ve Kontrol (C&C) sunucusundan birinci ve ikinci aşama yükleri indiriyor. Zararlı yazılım, çeşitli mesajlaşma uygulamalarını, bir iş fırsatı uygulamasını ve bir Filistin Sivil Kayıt uygulamasını taklit eden özel web siteleri aracılığıyla dağıtılıyor. Bunlar genellikle AridSpy'ın zararlı kodunun eklenmesiyle trojanlaştırılmış mevcut uygulamalardır. ESET Research, kullanıcı verilerinin casusluğuna odaklanan uzaktan kontrol edilen AridSpy Trojan'ını Filistin ve Mısır'da tespit etti.

APT-C-23, Desert Falcons veya Two-tailed Scorpion olarak da bilinen Arid Viper, Orta Doğu'daki ülkeleri hedef almasıyla bilinen bir siber casusluk grubudur; grup yıllar boyunca Android, iOS ve Windows platformları için geniş bir kötü amaçlı yazılım cephaneliğiyle dikkat çekmiştir.  Taklit web siteleri aracılığıyla sağlanan etkilenen üç uygulama, AridSpy casus yazılımıyla truva atı haline getirilmiş yasal uygulamalar. Bu kötü niyetli uygulamalar hiçbir zaman Google Play üzerinden sunulmamış, yalnızca üçüncü taraf sitelerden indirilmiştir. Bu uygulamaları yüklemek için potansiyel kurbandan, bilinmeyen kaynaklardan uygulama yüklemek için varsayılan olmayan Android seçeneğini etkinleştirmesi istenir. Filistin'de kaydedilen casus yazılım örneklerinin çoğunluğu kötü amaçlı Palestinian Civil Registry uygulaması içindi.

 

AridSpy'ı keşfeden ESET araştırmacısı Lukáš Štefanko "Tehdit aktörleri, cihaza ilk erişimi elde etmek için potansiyel kurbanlarını sahte ama işlevsel bir uygulama yüklemeye ikna etmeye çalışıyor. Hedef, sitenin indirme düğmesine tıkladığında aynı sunucuda barındırılan myScript.js, kötü amaçlı dosya için doğru indirme yolunu oluşturmak üzere çalıştırılır," diye açıklıyor ve kullanıcıların nasıl etkilendiğini anlatıyor. Kampanya, StealthChat'in truva atı haline getirilmiş sürümlerini içeren kötü amaçlı bir Android mesajlaşma uygulaması olan LapizaChat'i içeriyordu. ESET, LapizaChat'ten sonra AridSpy'ı dağıtmaya başlayan ve bu kez NortirChat ve ReblyChat adlı mesajlaşma uygulamaları gibi görünen iki kampanya daha tespit etti. NortirChat yasal Session mesajlaşma uygulamasını temel alırken ReblyChat yasal Voxer Walkie Talkie Messenger'ı temel alıyor. 

 

Öte yandan, Filistin Nüfus Kayıt uygulaması daha önce Google Play'de bulunan bir uygulamadan esinlenmişti. Araştırmamıza göre çevrimiçi olarak sunulan kötü amaçlı uygulama, Google Play'deki uygulamanın truva atı haline getirilmiş bir sürümü değil; bunun yerine, bilgi almak için bu uygulamanın yasal sunucusunu kullanır. Bu da Arid Viper'ın bu uygulamanın işlevselliğinden esinlendiği ancak meşru sunucuyla iletişim kuran kendi istemci katmanını yarattığı anlamına geliyor. Büyük olasılıkla Arid Viper, Google Play'deki yasal Android uygulamasına ters mühendislik uyguladı ve kurbanların verilerini almak için sunucusunu kullandı. ESET'in tespit ettiği son kampanya, AridSpy'ı bir iş teklifi uygulaması olarak dağıtıyor.

 

AridSpy ağ tespitinden, özellikle de C&C iletişiminden kaçınmayı amaçlayan bir özelliğe sahip. AridSpy'ın kodda belirttiği gibi kendini devre dışı bırakabilir. Veri sızıntısı ya Firebase C&C sunucusundan bir komut alınarak ya da özel olarak tanımlanmış bir olay tetiklendiğinde başlatılır. Bu olaylar arasında internet bağlantısının değişmesi, uygulamanın yüklenmesi ya da kaldırılması, bir telefon görüşmesi yapılması ya da alınması, bir SMS mesajının gönderilmesi ya da alınması, bir şarj cihazının bağlanması ya da bağlantısının kesilmesi ya da cihazın yeniden başlatılması sayılabilir. Bu olaylardan herhangi biri meydana gelirse AridSpy çeşitli kurban verilerini toplamaya başlar ve bunları sızma C&C sunucusuna yükler. Cihaz konumu, kişi listeleri, arama kayıtları, metin mesajları, fotoğrafların küçük resimleri, kaydedilen videoların küçük resimleri, kaydedilen telefon görüşmeleri, kaydedilen çevre sesleri, kötü amaçlı yazılım tarafından çekilen fotoğraflar, değiş tokuş edilen mesajları ve kullanıcı kişilerini içeren WhatsApp veritabanları, varsayılan tarayıcıdan ve yüklüyse Chrome, Samsung Browser ve Firefox uygulamalarından yer imleri ve arama geçmişi, harici depolama alanından dosyalar, Facebook Messenger ve WhatsApp iletişimi ve diğerlerinin yanı sıra alınan tüm bildirimleri toplayabilir.

 


Mahmut Tuncer | Sesimi kesmek için güvercin pisliği yedirdiler

Mevsimsel depresyonun 9 belirtisine dikkat

TESK Başkanı'ndan yarıyıl tatiline çıkmaya hazırlananlara uyarı

Siber güvenlik ve yapay zekâ: 2025'te neler olacak?

Beşiktaş Belediye Başkanı Akpolat tutuklandı

2024 ihracatının yıldızları ödüllerine kavuştu

Mısır kurutma tesisine bile kaçak elektrik çekmişler

Sahte alkol, İstanbul'da 38 can aldı

Siberağ Operasyonu | 18 kişi tutuklandı

Ümit Özdağ | Türk Milleti'ne tuzak kuruluyor

Üsküdar'da sahte alkol satan iş yerleri mühürlendi

Güneştekin'in Kalıp Alfabe Sergisi Feshane'de açıldı

2024 yılının tatil atlası Tatilsepeti’nden!

Azerbaycan askerleri tatbikat için Iğdır'a geldi

Kayıp kadını İETT buldu

Karasu Belediyesi, Menzilcilerin tatil köyünü yıktı

İstanbul'da ulaşıma zam geldi | Marmaray 60 TL

Türkiye’nin su ürünleri ihracatı 2 milyar doları aştı

TEKNOFEST Akıllı Ulaşım Yarışması’nda 2025 yılı başvuru sürüyor

NanoKnife yöntemiyle ameliyatsız çözüm

TÜVTÜRK’e Altın Lider Ödülü

Sahte alkol bir günde 11 can aldı

Rıza Akpolat | Yoksullara verilen yemekler aksamasın

Sakarya'da eski sevgili dehşeti

Zehir saçan termik santral hakkında önemli iddia

KAAN'ın 2'nci prototipi gün yüzüne çıktı

Haluk Bayraktar, İmamoğlu'na tazminat ödeyecek

Güçlü Roketler Zorlu Görevler için TEKNOFEST’te Yarışıyor

Özel ve İmamoğlu'ndan gözaltılar için sert tepki

İç hatlarda şampyon Sahiba Gökçen

Yükleniyor

LİG TABLOSU

Takım O G M B Av P
1.Galatasaray 19 16 0 3 30 51
2.Fenerbahçe 18 13 2 3 27 42
3.Samsunspor 18 11 4 3 14 36
4.Göztepe 18 9 5 4 14 31
5.Eyüpspor 18 8 4 6 10 30
6.Beşiktaş 18 8 4 6 8 30
7.İstanbul Başakşehir 18 7 6 5 4 26
8.Gazişehir Gaziantep 18 7 7 4 -1 25
9.Rizespor 18 7 8 3 -8 24
10.Trabzonspor 18 5 6 7 6 22
11.Alanyaspor 18 5 6 7 -2 22
12.Kasımpaşa 18 4 5 9 -6 21
13.Antalyaspor 18 6 9 3 -16 21
14.Sivasspor 18 5 8 5 -7 20
15.Konyaspor 18 5 8 5 -7 20
16.Kayserispor 18 3 8 7 -17 16
17.Bodrum FK 18 4 11 3 -11 15
18.Hatayspor 19 1 11 7 -15 10
19.Adana Demirspor 18 2 14 2 -23 5
1.Galatasaray 19 16 0 3 30 51
2.Fenerbahçe 18 13 2 3 27 42
3.Samsunspor 18 11 4 3 14 36
4.Göztepe 18 9 5 4 14 31
5.Eyüpspor 18 8 4 6 10 30
6.Beşiktaş 18 8 4 6 8 30
7.İstanbul Başakşehir 18 7 6 5 4 26
8.Gazişehir Gaziantep 18 7 7 4 -1 25
9.Rizespor 18 7 8 3 -8 24
10.Trabzonspor 18 5 6 7 6 22
11.Alanyaspor 18 5 6 7 -2 22
12.Kasımpaşa 18 4 5 9 -6 21
13.Antalyaspor 18 6 9 3 -16 21
14.Sivasspor 18 5 8 5 -7 20
15.Konyaspor 18 5 8 5 -7 20
16.Kayserispor 18 3 8 7 -17 16
17.Bodrum FK 18 4 11 3 -11 15
18.Hatayspor 19 1 11 7 -15 10
19.Adana Demirspor 18 2 14 2 -23 5

YAZARLAR