Siber güvenlik uzmanları, Android kötü amaçlı yazılımları dağıtmak için Google Play Store olarak poz veren aldatıcı web sitelerini kullanan karmaşık bir siber kampanyayı ortaya çıkardı.
Yeni kayıtlı alanlarda barındırılan bu web siteleri, Google Chrome gibi uygulamalar da dahil olmak üzere, meşru görünen indirmelerle kurbanları cazip bir şekilde güvenilir uygulama kurulum sayfaları cephesi oluşturur.
Siteler, otantik Google Play Store uygulama sayfaları gibi görünen yüksek sidelite ekran görüntülerini sergileyen bir görüntü atlıkarıncası gibi yanıltıcı için tasarlanmış özelliklerle tasarlanmıştır.
.png
)
Bu görüntüler, aldatmanın görsel etkisini ve güvenilirliğini artıran başka bir şüpheli alandan temin edilir.
Kötü amaçlı yazılım dağıtım mekaniği
Bu atlıkarındaki herhangi bir görüntüyü tıkladıktan sonra, meşru bir .APK dosyası gibi görünen şeylerin indirilmesini başlatan “İndir ()” etiketli bir JavaScript işlevi yürütülür.
Bununla birlikte, bunlar, güçlü gözetim yetenekleri ve veri açığa çıkmasıyla bilinen Spynote ve Spymax Android uzaktan erişim Truva atları (sıçanlar) için damlalardır.
Kötü amaçlı yazılımlar şu şekilde sunulur:
- Delen APK: Droper, yürütüldüğünde, içine gömülü ikincil bir APK yükler. Bu ikincil APK, veri hırsızlığı, çağrı manipülasyonu ve cihazın kamerası ve mikrofonu üzerinde uzaktan kumanda dahil olmak üzere spynot’un birincil işlevlerini içerir.
- Komut ve Kontrol (C2) Bağlantısı: İkincil APK içinde, Varlık klasöründeki bir Base.dex dosyası, C2 sunucularıyla iletişim kurmak için gerekli bağlantı parametrelerini tutar. Özellikle, bazı varyasyonlar C2 bağlantısı için sabit kodlanmış IP adresleri kullanır.
Spynot’un kapsamlı yetenekleri ve sonuçları
Spynote Rat sadece basit bir kötü amaçlı yazılım değil, gözetim ve uzaktan kumanda için sofistike bir araçtır:
- Veri hırsızlığı: SMS mesajlarına, kişilere, çağrı günlüklerine, konum bilgilerine ve daha fazlasına erişim sağlayarak kurulum sırasında agresif bir şekilde izin arar. Hassas kişisel belgeler ve fotoğraflar da dahil olmak üzere dosyalar da risk altındadır.
- Gözetim: Spynote, kullanıcının bilgisi olmadan cihaz kameralarını ve mikrofonları etkinleştirir, saldırganlara iletim için video ve ses yakalar.
- Uzaktan kumanda: Saldırganlar çağrıları manipüle edebilir, daha fazla uygulama yükleyebilir, verileri uzaktan silebilir veya cihazı kilitleyebilir. Bu kapsamlı kontrol, Spynote’u casusluk ve siber suç için birincil bir araç haline getirir.
Kampanya, İngilizce ve Çince dağıtım sitelerinin bir karışımını kullanıyor ve Çince yorumlar hem dağıtım sitesi kodunda hem de kötü amaçlı yazılımın kendisi.
Kesin ilişkilendirme olmasa da, bir Çin bağlantısından şüpheleniliyor, bu da hedeflenen saldırılar için dilsel ve kültürel benzerliklerden yararlanan siber aktörlerin katılımını gösteriyor.
Spynote’un tarihi, Hint Savunma Personeli gibi yüksek profilli varlıkları hedefleyen Oilrig (APT34), APT-C-37 (Pat-Bear) ve Oilalpha gibi sofistike APT gruplarının kullanımını içerir.
Kötü amaçlı yazılım oluşturucu aracının yeraltı forumlarındaki kullanılabilirliği, geniş bir siber suçlu yelpazesi arasında kullanımını daha da demokratikleştirmiştir.
Rapora göre, bu kampanya, Google Play gibi doğrulanmış platformların bile kullanıcıları aldatmak için taklit edildiği dijital tehditlerin gelişen doğasını vurgulamaktadır.
Siber güvenlik önlemleri uyum sağlamalıdır:
- Dikkatle İndirin: Kullanıcılar yalnızca doğrulanmış kaynaklardan uygulamaları indirmeli, kurulumdan önce uygulama izinlerini ve derecelendirmeleri incelemelidir.
- Sistem güncellemeleri: Cihazları en son güvenlik yamalarıyla güncel tutmak, bu tür kötü amaçlı yazılımlar tarafından kullanılabilecek güvenlik açıklarını azaltmak için çok önemlidir.
- Eğitim: Bu kampanyalarda kullanılan sosyal mühendislik taktikleri hakkında farkındalık ve eğitim, bireysel ve örgütsel siber güvenlik hijyeni için hayati öneme sahiptir.
Spynote’u sahte Google Play Store sayfaları aracılığıyla dağıtmak için aldatıcı kampanya, uyanıklık, sağlam siber güvenlik uygulamaları ve bu tür siber tehditlere karşı korunmak için devam eden eğitimin altını çiziyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!