Bilgisayar Korsanları, Mobil Gözetim Yapmak İçin Android Casus Yazılımının Gelişmiş Sürümünü Kullandı

ESET'teki araştırmacılar, APT-C-50 olarak da adlandırılan Domestic Kitten hack grubu tarafından yürütülen mobil gözetim kampanyalarında İran vatandaşlarını hedef alan Android kötü amaçlı yazılımı 'FurBall'un yeni bir sürümünü buldular.

Haziran 2021'in başlarında, raporlar, çevrilmiş makaleler, dergiler ve kitaplar sağlayan İranlı bir web sitesinin kopyası aracılığıyla bir çeviri uygulaması olarak dağıtıldığını söylüyor.

ESET araştırmacıları, bu sürümün önceki sürümlerle birçok benzerliğe sahip olduğunu, ancak şu anda gizleme ve C2 güncellemeleriyle birlikte geldiğini belirtiyor.

APT-C-50 olarak da adlandırılan Domestic Kitten, daha önce güvenliği ihlal edilmiş mobil cihazlardan hassas bilgiler toplamak amacıyla ilgilenen bireyleri hedef aldığı tespit edilen bir İran tehdit etkinliği kümesidir. En azından 2016'dan beri aktif olduğu bilinmektedir.

2019'da Trend Micro, muhtemelen Domestic Kitten ile bağlantılı, Orta Doğu'yu hedef alan ve kampanyaya Bouncing Golf adını veren kötü amaçlı bir kampanya tespit etti.

"İç muhalifler, muhalif güçler, IŞİD savunucuları, İran'daki Kürt azınlık ve daha fazlası dahil olmak üzere İran rejiminin istikrarına tehdit oluşturabilecek İran vatandaşları", Check Point.

FurBall Android Kötü Amaçlı Yazılım

Bu kampanyada, FurBall android malware ticari stalkerware aracı Kidlogger dayalı olarak oluşturuldu. Check Point, "FurBall geliştiricilerinin GitHub'da bulunan yedi yıl önceki açık kaynaklı sürümden ilham aldığını" söylüyor.

FurBall, kurbanların doğrudan mesajlardan, sosyal medya yayınlarından, e-postalardan, SMS'ten, siyah SEO'dan ve SEO zehirlenmesinden sonra sona erdiği gerçek web sitelerinin kopyaları olan sahte web siteleri aracılığıyla dağıtılmaktadır.

ESET Araştırmacıları, "Bu kötü amaçlı Android uygulaması, İngilizce'den Farsça'ya çevrilmiş makaleler ve kitaplar sağlayan meşru bir siteyi taklit eden sahte bir web sitesi aracılığıyla teslim ediliyor".

Araştırmacılar, kopyacının amacının, Farsça "Uygulamayı indir" yazan bir düğmeye tıkladıktan sonra indirilmek üzere bir Android uygulaması ortaya koymak olduğunu söylüyor.

Sahte sürümde, kullanıcıların çevirmenin Android sürümünü indirmelerine izin verdiği iddia edilen bir Google Play düğmesi var, ancak uygulama mağazasına inmek yerine, 'sarayemaghale.apk' adlı bir APK dosyası gönderiliyor.

Bu nedenle, tehdit aktörü uygulama izinlerini genişletirse, aşağıdakileri de sızdırabilir:

• panodan metin,
• cihaz konumu,
• sms mesajları,
• kişiler,
• arama günlükleri,
• kayıtlı telefon görüşmeleri,
• diğer uygulamalardan gelen tüm bildirimlerin metni,
• cihaz hesapları,
• cihazdaki dosyaların listesi,
• uygulamaları çalıştırmak,
• yüklü uygulamaların listesi ve
• cihaz bilgisi.

Analiz ettiği örneğe bağlı olarak, yalnızca kişilere ve depolama ortamına erişim isteyen sınırlı işlevselliğe sahiptir.

Kurulum sonrasında Furball, C&C sunucusuna her 10 saniyede bir HTTP isteği yapar ve komutların yürütülmesini ister.

Bu nedenle, araştırmacılar gizlemenin sınıf adlarında, yöntem adlarında, bazı dizelerde, günlüklerde ve sunucu URI yollarında tespit edilebileceğini söylüyor.

"The Domestic Kitten kampanyası, İran vatandaşlarını hedef almak için kopyacı web sitelerini kullanarak hala aktif. Operatörün hedefi, tam özellikli Android casus yazılımlarını dağıtmaktan daha hafif bir varyanta biraz değişti", ESET araştırmacıları.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.