Siber güvenlik araştırmacıları, Rus askeri personelinin, Alpine Quest haritalama yazılımı kisvesi altında Android casus yazılımlarını dağıtan yeni bir kötü niyetli kampanyanın hedefi olduğunu ortaya koydu.
Doctor Web bir analizde, “Saldırganlar bu Truva’yı değiştirilmiş Alpine Quest haritalama yazılımının içinde gizliyor ve Rus Android uygulama kataloglarından biri de dahil olmak üzere çeşitli şekillerde dağıtıyor.” Dedi.
Truva atı, yazılımın eski sürümlerine gömülmüş ve gelişmiş işlevselliğe sahip bir program olan Alpine Quest Pro’nun serbestçe kullanılabilir bir varyantı olarak yayılmıştır.
Rus siber güvenlik satıcısı, android.spy.1292.Origin olarak adlandırılan kötü amaçlı yazılımları, sahte bir telgraf kanalı aracılığıyla bir APK dosyası şeklinde dağıtıldığını da gözlemlediğini söyledi.
Tehdit oyuncusu başlangıçta Telegram kanalı üzerinden Rus uygulama kataloglarından birinde uygulamayı indirmek için bir bağlantı sağlarken, truva atı sürümü daha sonra doğrudan bir uygulama güncellemesi olarak APK olarak dağıtıldı.
Saldırı kampanyasını dikkate değer kılan şey, Alpine Quest’in Rus askeri personeli tarafından özel askeri operasyon bölgesinde kullanıldığından yararlanmasıdır.
Bir Android cihazına yüklendikten sonra, kötü amaçlı yazılım uygulaması, orijinal gibi görünür ve işlev görür ve hassas veri toplarken uzun süre tespit edilmemesine izin verir –
- Cep telefonu numarası ve hesapları
- İletişim listeleri
- Mevcut tarih ve coğrafi konum
- Depolanan dosyalar hakkında bilgi ve
- Uygulama sürümü
Bir telgraf botuna her değiştiğinde kurbanın konumunu göndermenin yanı sıra, casus yazılım, özellikle Telegram ve WhatsApp aracılığıyla gönderilenleri, ilgilenen dosyaları dışarı atmasına izin veren ek modülleri indirme ve çalıştırma olanağını destekler.
Doctor Web, “Android.spy.1292.Origin sadece kullanıcı konumlarının izlenmesine değil, aynı zamanda gizli dosyaların kaçırılmasına izin veriyor.” Dedi. “Buna ek olarak, işlevselliği, daha sonra daha geniş bir kötü amaçlı görev spektrumu yürütmesine izin veren yeni modüllerin indirilmesi yoluyla genişletilebilir.”
Bu tür tehditlerin yarattığı riski azaltmak için, Android uygulamalarını yalnızca güvenilir uygulama pazarlarından indirmeniz ve şüpheli kaynaklardan yazılımın “ücretsiz” ücretli sürümlerini indirmekten kaçınmanız önerilir.
Yeni Windows Backdoor tarafından hedeflenen Rus kuruluşları
Açıklama, Kaspersky’nin Rusya’daki hükümet, finans ve sanayi sektörlerini kapsayan çeşitli büyük kuruluşların, VIPnet adlı güvenli bir ağ yazılımı için bir güncelleme olarak maskelenerek sofistike bir arka kapı tarafından hedeflendiğini açıkladı.
Bir ön raporda şirket, “Arka kapı VIPnet ağlarına bağlı bilgisayarları hedefliyor.” Dedi. “Arka kapı, söz konusu yazılım ürünü için güncellemelere özgü bir yapıya sahip LZH arşivlerinde dağıtıldı.”
Arşiv içinde, dosyada da yer alan şifreli bir yük için yükleyici görevi gören kötü amaçlı bir yürütülebilir (“MSINFO32.exe”) bulunur.
Kaspersky, “Yükleyici, arka kapıyı belleğe yüklemek için dosyanın içeriğini işler.” Dedi. Bu arka kapı çok yönlüdür: TCP aracılığıyla bir C2 sunucusuna bağlanabilir, bu da saldırganın enfekte bilgisayarlardan dosyaları çalmasına ve diğer şeylerin yanı sıra ek kötü amaçlı bileşenler başlatmasına izin verebilir. “