Siber güvenlik araştırmacılarının Perşembe günü yaptığı açıklamaya göre, en az 2015’ten beri aktif olan uzun süredir devam eden bir casus yazılım operasyonunun bir parçası olarak Uygur topluluğunu hedef alan yeni bir mobil gözetim kampanyası dalgası gözlemlendi.
İlk olarak Ocak 2016’da Scarlet Mimic adlı bir tehdit aktörüne atfedilen izinsiz girişlerin, kitap, resim ve Kuran’ın sesli versiyonu olarak gizlenen Android kötü amaçlı yazılımının 20 farklı çeşidini kapsadığı söyleniyor.
Kötü amaçlı yazılım, teknik açıdan nispeten karmaşık olmasa da, virüslü bir cihazdan hassas verileri çalmak, kurban adına SMS mesajları göndermek, telefon görüşmeleri yapmak ve konumlarını izlemek için kapsamlı yeteneklerle birlikte gelir.
Ek olarak, gelen ve giden telefon görüşmelerinin yanı sıra çevredeki seslerin de kaydedilmesini sağlar.
İsrailli siber güvenlik firması Check Point teknik bir incelemede, “Bütün bunlar onu güçlü ve tehlikeli bir gözetleme aracı yapıyor,” dedi ve casus yazılımı çağırdı. MobilSipariş.
Kampanyanın bir bölümünün yakın zamanda MalwareHunterTeam ve Cyble’dan araştırmacılar tarafından, sürgündeki Uygur lideri Dolkun Isa tarafından yazılan bir kitabın kötü amaçlı yazılımı dağıtmak için bir yem olarak kullanıldığı ifşa edildiğini belirtmekte fayda var.
Check Point, hiçbirinin tespit edilmediği 2021 hariç, 2015’ten Ağustos 2022’nin ortasına kadar vahşi doğada MobileOrder eserlerini gözlemlediğini söyledi.
Saldırı kampanyaları, muhtemelen, masum kurbanları, görünüşte zararsız belgelere, fotoğraflara ve ses dosyalarına atıfta bulunan kötü amaçlı uygulamaları başlatmaları için kandırmak için sosyal mühendislik taktiklerinin kullanılmasını içerir.
Bu uygulamalar, Nisan 2014’teki ölümcül saldırının ardından Sincan Uygur Özerk Bölgesi’nin başkenti Urumçi’de paramiliter güçlerin konuşlandırılmasıyla ilgili gerilla savaşı hakkında bir PDF ve resimler de dahil olmak üzere çeşitli yemler içeriyor.
Hileli uygulamayı açmak, hedefin arka planda kötü niyetli eylemleri fark etmesini engellemek için tasarlanmış bir sahte belge başlatır.
Araştırmacılar, “Bazı sürümler, yalnızca kötü amaçlı yazılımın cihaza tam erişimini sağlamakla kalmayıp, aynı zamanda kurbanın uygulamayı kolayca kaldırmasını engelleyen Cihaz Yöneticisi ve kök erişimi de istiyor.” Dedi.
MobileOrder tarafından desteklenen diğer özellikler arasında uzak bir kabuk yürütme ve hatta ek Android Paketi (APK) dosyalarını bırakma sayılabilir.
Kampanyanın Check Point’e göre Scarlet Mimic’e atfedilmesi, açık kod çakışmalarından, paylaşılan altyapıdan ve aynı mağduriyet kalıplarından kaynaklanmaktadır.
Ayrıca, MobileOrder’ın devam eden kullanımı, saldırı vektöründe masaüstünden mobil gözetime bir kaymaya işaret ediyor, aktör daha önce Psylo Trojan adlı bir Windows kötü amaçlı yazılımına bağlıydı.
Geçtiğimiz yedi yıl boyunca bu saldırılardan hangisinin başarılı olduğu net olmasa da, kötü amaçlı yazılım yazarlarının casus yazılımları dağıtmaya devam etmesi, bu çabaların bir kısmının meyvesini verdiğini gösteriyor.
Check Point, “Kampanyanın kalıcılığı, kötü amaçlı yazılımın evrimi ve belirli popülasyonları hedef almaya yönelik ısrarlı odaklanma, grubun yıllar içindeki operasyonlarının bir dereceye kadar başarılı olduğunu gösteriyor.” Dedi.