Siber güvenlik araştırmacıları, Ekim 2019’dan beri aktif olan ve Orta Doğu’daki çeşitli ülkelerin askeri personelini hedef alan bir Android gözetleme kampanyası gözlemledi. Araştırmacılar, operasyonun Husi bağlantılı bir tehdit aktörüyle bağlantıları olduğuna inanıyor.
“GuardZoo” olarak adlandırılan casus yazılım, 450’den fazla kurbana ait cihazları etkiledi. Araştırmacıların ilgili faaliyetleri analiz etmeye devam etmesiyle kampanya aktif olmaya devam ediyor.
GuardZoo’nun Orta Doğu Askeri Hedeflerine Bulaşması
GuardZoo, 2014 yılında internete sızdırılan meşru programları enfekte etmek için bağlayıcı bir yardımcı program da içeren, 300 dolara satın alınabilen yeraltı RAT programı Dendroid RAT’a dayanmaktadır.
Araştırmacılar, kullanılmayan bazı işlevleri kaldırırken ek yetenekler uygulamak için orijinal kaynak kodunda birçok değişiklik olduğunu belirtti. GuardZoo kötü amaçlı yazılımı, uzaktan Komuta ve Kontrol (C2) için yerel Dendroid RAT’ın PHP web paneline güvenmek yerine ASP.NET ile oluşturulmuş yeni bir C2 arka ucu kullanır.
Lookout araştırmacıları, uygulama cazibeleri, sızdırılan veriler, hedefleme ve C2 altyapı konumuna dayanarak kampanyayı Yemenli, Husi yanlısı bir tehdit aktörüne atfediyor. Kampanyanın öncelikli olarak Yemen, Suudi Arabistan, Mısır, Umman, BAE, Katar ve Türkiye’deki kurbanları hedef aldığı gözlemlendi.
Araştırmacılar, birincisi birincil adres işlevi gören iki C2 adresinin kullanımını gözlemlediler – https://wwwgoogl.zapto[.]org – ve ikincisi yedek adres olarak: https://somrasdc.ddns[.]net. Kötü amaçlı yazılım bu C2 sunucularından 60’tan fazla farklı komut alabiliyor. Bu komutlar çoğunlukla Guardzoo’ya özel uygulamalardır. Araştırmacılar en dikkat çekici C2 komutlarından bazılarını ve ilgili işlevlerini içeren bir liste derlediler:
GuardZoo, fotoğraflar, belgeler, konum verileri, kaydedilmiş GPS rotaları ve izleri, cihaz model numarası, mobil operatör ve Wi-Fi yapılandırması dahil olmak üzere enfekte cihazlardan geniş bir veri yelpazesi toplayabilir. Dahası, aktörün enfekte cihaza ek istilacı kötü amaçlı yazılımlar dağıtmasını sağlayabilir. Cihazın konumu, modeli ve hücresel servis operatörü de toplanabilir.
Gözetleme yazılımı WhatsApp, WhatsApp Business ve doğrudan tarayıcı indirme yoluyla dağıtılıyor ve kurbanları cezbetmek için askeri temalar kullanıyor. Lookout araştırmacıları, GuardZoo’nun ‘Kutsal Kuran,’ ‘Silahlı Kuvvetlerin Anayasası,’ ‘Sınırlı – Komutan ve Kurmay’ ve ‘Yeni Silahlı Kuvvetlerin Yeniden Yapılandırılması’ gibi dini, e-kitap ve askeri temalı uygulamalar gibi poz veren son örneklerini gözlemlediler.
Araştırmacılar Husi Bağlantısını İzliyor
Araştırmacılar, GuardZoo’yu, ABD hükümetinin yakın zamanda küresel terör örgütü olarak yeniden tanımladığı Yemen’deki Husi milisleriyle ilişkilendiren kanıtlar buldu.
Sunucu günlüklerinin analizi, belirlenen kurbanların çoğunun Yemen’deki Hadi yanlısı güçlerin üyeleri gibi göründüğünü ortaya koydu. Ayrıca, kötü amaçlı yazılımın C2 sunucularının Yemen hükümetine ait bir İSS’ye ait YemenNet altyapısında barındırıldığı bulundu.
Araştırmacılar, günlük kayıtlarından bazılarının cihazların Aden’den faaliyet gösteren Başkan Hadi hükümetiyle aynı çizgideki güçlere ait olduğunu gösterdiğini belirtti. Sızdırılan belgelerden biri, “Çok Gizli, Yemen Cumhuriyeti, Savunma Bakanlığı, Genelkurmay Başkanı, Savaş Harekat Dairesi, Sigorta bölümü” şeklinde tercüme edilen ifadeler içeriyordu.
GuardZoo’ya Karşı Koruma
Güvenlik firmasının Ürün ve Güvenlikten Sorumlu Başkan Yardımcısı Aaron Cockerill, “Bu casus yazılım paketleri, enfekte cihazlardan çok çeşitli veriler toplamak için kullanılabilir ve GuardZoo’nun durumunda bu, askeri personeli ve operasyonları riske atabilir. Güvenlik uzmanlarını bu tehdidin farkında olmaya ve kullanıcılarını, iş ve kişisel verilerini korumak için adımlar atmaya çağırıyoruz.” dedi.
Araştırmacılar, hem ticari hem de kişisel Android cihazlarınızı GuardZoo ve diğer gözetleme yazılımlarından korumak için aşağıdaki temel adımları öneriyor:
- İşletim sisteminizi ve uygulamalarınızı güncel tutun; çünkü günümüzde güncellemelerin çoğu güvenlik yamalarıyla ilgilidir.
- Yalnızca Google Play’den uygulama yükleyin, üçüncü taraf kaynaklardan değil. Bir web sitesinden uygulama yüklemenizi isteyen bir mesaj alırsanız, numarayı hemen engelleyin ve olayı BT veya Güvenlik ekibinize bildirin.
- Mobil uygulamaların istediği izinlere dikkat edin. Meşru uygulamalardan bile aşırı müdahaleci izinler, kuruluşunuz için veri riski oluşturabilir.
- Kötü amaçlı yazılımları tespit edip onlara karşı koruma sağlayabilen ve kuruluşunuzu güvende tutabilen bir mobil güvenlik çözümü uygulayın.