Orta Doğu’daki Android kullanıcılarını hedef alan yeni bir siber saldırı dalgası, hem Filistin’e hem de Mısır’a odaklanarak ortaya çıktı. AridSpy olarak adlandırılan bu çok aşamalı Android kötü amaçlı yazılımın, bölgedeki siber casuslukla eşanlamlı bir isim olan kötü şöhretli Arid Viper APT grubu tarafından düzenlendiği iddia ediliyor.
Beş özel web sitesi aracılığıyla dağıtıldığı keşfedilen kötü amaçlı yazılım, görünürde meşru uygulamalar içinde ustaca gizleniyor ve siber tehditlerde tehlikeli bir evrime işaret ediyor. 2022 gibi erken bir tarihte başlatılan ve bugüne kadar devam eden bu kampanyaların işleyiş şekli, şüphelenmeyen kullanıcıların cihazlarına sızmak üzere tasarlanmış truva atı haline getirilmiş uygulamaların dağıtımı etrafında dönüyor.
Mesajlaşma platformlarından iş fırsatı portallarına kadar uzanan bu uygulamalar, kodlarında sinsi AridSpy casus yazılımını barındırarak, saldırganların virüslü cihazları uzaktan kontrol etmesine ve hassas bilgileri endişe verici bir verimlilikle çıkarmasına olanak tanıyor.
Arid Viper APT grubu Kurbanları Hedeflemek için AridSpy’dan Yararlanıyor
AridSpy’ın stratejisinin önemli bir unsuru, kendisini orijinal uygulamalar içinde kamufle etme ve böylece geleneksel güvenlik önlemlerini atlama yeteneğinde yatmaktadır. Failler, mevcut uygulamalardan yararlanarak ve bunlara kötü amaçlı kod enjekte ederek, kullanıcıların tanıdık yazılımlara duyduğu güveni istismar ederek siber saldırılarının erişim alanını ve etkisini artırıyor.
ESET’in bu faaliyetlerle ilgili araştırması, AridSpy sızıntısının çeşitli örneklerini ortaya çıkardı; vakaların çoğu, kötü niyetli Filistin Sivil Kayıt uygulamasının dağıtımı etrafında yoğunlaştı. Bu taktik, StealthChat ve Voxer Walkie Talkie Messenger gibi saygın mesajlaşma platformlarının kimliğine bürünmeyle birleştiğinde, grubun siber savaşa yönelik sofistike yaklaşımının altını çiziyor.
ESET’te araştırmacı olan Lukáš Štefanko, AridSpy’ın sızma mekanizmasına ışık tutuyor ve şüphelenmeyen kullanıcıların kusurlu uygulamaları yüklemeye nasıl yönlendirildiğini detaylandırıyor. “Tehdit aktörleri, cihaza ilk erişim sağlamak için potansiyel kurbanlarını sahte ama işlevsel bir uygulama yüklemeye ikna etmeye çalışıyor. Hedef sitenin indirme düğmesine tıkladığında, aynı sunucuda barındırılan myScript.js, kötü amaçlı dosya için doğru indirme yolunu oluşturmak üzere çalıştırılıyor,” diye açıklıyor Štefanko.
Saldırganlar, yanıltıcı indirme düğmeleri ve özenle hazırlanmış komut dosyaları aracılığıyla, kullanıcıların popüler uygulamalara olan güveni ve aşinalığındaki güvenlik açıklarından yararlanarak AridSpy’ın cihazlarına sessiz kurulumunun önünü açıyor.
Tersine Mühendislik Uygulamaları
Dahası, Arid Viper’ın yaratıcılığı, veri sızdırmayı kolaylaştırmak için meşru uygulama sunucularını manipüle etmelerinin de kanıtladığı gibi, uygulama kimliğine bürünmenin ötesine uzanıyor. Grup, mevcut uygulamalara tersine mühendislik uygulayarak ve bunların altyapısını kullanarak kusursuz bir veri çıkarma sürecini yönetiyor, bu da tespit ve azaltma çabalarını daha da karmaşık hale getiriyor.
AridSpy’ın yetenekleri yalnızca veri casusluğuyla sınırlı değildir; Casus yazılım, tespitten kaçınmayı ve bilgi çıkarımını en üst düzeye çıkarmayı amaçlayan karmaşık bir özellik kümesine sahiptir. AridSpy, ağ kaçırma taktikleri ve olayla tetiklenen veri sızma mekanizmalarının bir kombinasyonu aracılığıyla, gizlice çalışarak, arama kayıtları, metin mesajları, medya dosyaları ve hatta konum bilgileri dahil olmak üzere çok sayıda hassas veriyi siler.
Çevrimiçi tehditler kurbanları dünya çapında hedef almaya devam ederken, kullanıcılar ve kuruluşların bilgisayar korsanı gruplarına ve fidye yazılımı çetelerine karşı tetikte olmaları gerekiyor. Bireyler, bilgi sahibi olarak ve sağlam güvenlik önlemlerini benimseyerek, Arid Viper grubu gibi kötü niyetli aktörlerin oluşturduğu riskleri azaltabilir, dijital varlıklarını ve kişisel bilgilerini kötüye kullanıma karşı koruyabilirler.