Uç nokta güvenliği
Sahte mesajlaşma uygulamaları daha önce belgelenmemiş kötü amaçlı yazılım kullanıyor
Prajeet Nair (@prajeaetspeaks) •
3 Ekim 2025
Güvenli mesajlaşma uygulamaları sinyal ve totok için yükseltmeler veya eklentiler olarak daha önce belgelenmemiş casus yazılım maskeli balo kullanan iki Android casus yazılım kampanyası, araştırmacıları uyarın. İki kampanya, Birleşik Arap Emirlikleri sakinlerini hedefliyor gibi görünüyor.
Ayrıca bakınız: Kimlik Koruması Başarısız Olduğunda: Modern Tehdit Peyzajı için Dayanıklılığı Yeniden Düşünmek
ESET araştırmacıları, “Prospy” ve “Tospy” olarak adlandırdıkları iki casus yazılım ailesini belirlediler. Kurulduktan sonra, sürekli olarak hassas verileri söndürürler. ESET, Haziran ayında prospy kampanyasını keşfettiğini ancak verilerin 2024’ten beri devam ettiğini gösterdiğini söyledi.
Her iki kampanya da kullanıcıları bir sinyal veya totok yükseltme gibi görünerek veya Totok uygulamasını açıkça taklit ederek kötü amaçlı uygulamaları yüklemeye yönlendirir. Meşruiyeti sürdürmenin bir yolu, kullanıcıların meşru güvenli mesajlaşma uygulamalarını indirmesini veya etkileşimini yapmaktır. Sahte Totok uygulaması, kullanıcıları gerçek uygulamayı yüklemeye yönlendirir ve kullanıcının “Totok Pro” adlı telefonlarında bir uygulama olarak devam eder. Sahte sinyal yükseltmesi, kullanıcıları işlemde gerçek uygulamayı başlatarak “etkinleştirmeye” yönlendirir.
Bir kullanıcı kötü amaçlı uygulama izinleri verdiğinde, her iki casus yazılım suşları kişilere, SMS mesajlarına ve cihazda depolanan dosyalara erişim ister. Tospy özellikle arar .ttkmbackup Dosyalar, totok yedeklemeleri depolamak için kullanılan uzantı, sohbet geçmişlerini çıkarmaya hedeflenen bir ilgi olduğunu önerir.
Kampanyaları analiz eden ESET’in üst düzey yazılım araştırmacısı Lukáš Štefanko, her iki kampanyanın daha önce bildirilen gözetim faaliyetine bağlı olduğuna dair bir kanıt olmadığını söyledi. Bilgi Güvenliği Media Group’a verdiği demeçte, “Daha önce bilinen BAE gözetim veya diğer stat destekli etkinliklerle herhangi bir bağlantı bulamadık.”
Casus yazılımlar genellikle siyasi veya gazetecilik topluluklarına karşı kullanılır, Štefanko telemetrinin bu durumda hedefli sömürü önermediğini söyledi. “Belirli bir hedefleme belirtileri görmedik” dedi.
Gerçek enfeksiyon ölçeği belirsizliğini korumaktadır. Bilgisayar korsanlarının Totok ile birlikte sinyali taklit etme kararı, farklı kitlelerin stratejik hedeflemesini yansıtabilir. Štefanko, her iki kampanyanın da aynı hedeflere sahip olduğunu, ancak muhtemelen farklı amaçlanan kurbanlara sahip olduğunu söyledi.
Tospy, birkaç yıl çalışmasına rağmen önemli teknik güncellemeler yapmamıştır. Casus yazılım kampanyaları finansal güdülerden ziyade gözetim hedeflerine hizmet ediyor gibi görünüyor. “Bu daha fazla gözetim ile ilgili tehdit – devlet ilgisinin olup olmadığını söyleyemeyiz – o zaman kâr odaklı siber suç” dedi.
Dağıtım yöntemleri, sahte bir Samsung Galaxy mağazası da dahil olmak üzere meşru uygulama pazarlarını taklit etmek için tasarlanmış kimlik avı alanlarını içerir. Mağdurlardan APK dosyalarını manuel olarak indirmeleri ve yüklemeleri istenir, genellikle Google Play korumalarını atlar. Kurulumdan sonra, prospy ve Tospy, cihaz yeniden başlatıldıktan sonra bile çalışmayı sağlamak için AlarmManager ve önyükleme alıcıları gibi Android kalıcılık mekanizmalarını kullanır.
Araştırma ekibi Google’a bulgular hakkında bilgi verdi, ancak alan veya sunucuların yayından kaldırılmadı. Şimdilik, hem Prospy hem de Tospy, BAE’de ve potansiyel olarak ötesinde sinyal ve totok’a güvenen gizlilik bilincine sahip kullanıcılar için sürekli bir gözetim riski oluşturarak çalışmaya devam ediyor.