Araştırmacılar, Spynote RAT kullanılarak oluşturulan ve Güney Asya’daki yüksek değerli varlıkları hedef alan, muhtemelen bilinmeyen bir tehdit aktörü tarafından konuşlandırılan ve hassas bilgileri tehlikeye atmayı amaçlayan kötü amaçlı bir Android örneğini analiz etti.
Hedefin kesin konumu ve niteliği açıklanmamış olsa da, yüksek değerli yapısı, gelişmiş kalıcı tehdit (APT) gruplarının onunla ilgilenebileceğini gösteriyor.
Tehdit aktörü, benzer adlara sahip dört gizlenmiş veriyi dağıtarak WhatsApp aracılığıyla ideal olmayan bir dağıtım yöntemi denediğinde, Güney Asya’daki yüksek değerli bireylere yönelik hedefli bir Android saldırısı başlatıldı.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Bu yükler kurulduktan sonra kendilerini hızla gizlediler ve arka planda sessizce çalışarak ortak bir C&C sunucusuyla iletişim kurdular; burada saldırganın amacı muhtemelen kurbanın cihazını tehlikeye atmak ve potansiyel olarak hassas verileri sızdırmaktı.
Derlenmemiş veri yükünün analizi, kötü amaçlı işlevleri ortaya çıkarır. AndroidManifest dosyası, kesin konuma erişim (ACCESS_FINE_LOCATION), kişileri okuma (READ_CONTACTS), kamera (CAMERA), SMS (READ_SMS) ve harici depolama (WRITE_EXTERNAL_STORAGE) için izinler ister.
Bu izinler, saldırganın kullanıcının konumunu izlemesine, kişileri çalmasına, muhtemelen fotoğraf veya video çekmesine, SMS mesajlarına müdahale etmesine ve potansiyel olarak cihazın deposundan veri sızdırmasına olanak tanır.
Ayrıca uygulamanın dosya sistemiyle etkileşime girme, telefon görüşmelerini izleme ve kullanıcının kesin konumunu alma yeteneğini de gösteriyor; bu da yükün kapsamlı veri toplama ve casusluk için tasarlandığını gösteriyor.
Kötü amaçlı kod, kullanıcı etkinliğini izlemek için cihazın erişilebilirlik ayarlarından yararlanarak, potansiyel olarak ekran içeriğini ve tuş vuruşlarını yakalayarak hassas cihaz bilgilerine yetkisiz erişim elde etmeye çalışır.
Cyfirma’ya göre, IMEI numarası, SIM bilgileri, Android sürümü, ağ türü ve IMSI gibi kritik cihaz ayrıntılarını da çıkararak kullanıcının gizliliğini ve güvenliğini tehlikeye atıyor.
Gelişmiş bir Uzaktan Yönetim Aracı (RAT) olan SpyNote, aralarında OilRig, APT-C-37 ve OilAlpha gibi APT gruplarının da bulunduğu, kritik sektörleri ve bireyleri hedeflemek için SpyNote’tan yararlanan ve Android cihazlarının çalınmasına neden olan çeşitli tehdit aktörleri tarafından istismar edilmiştir. Verileri yönetin ve kalıcı erişimi sürdürün.
Aracın çok yönlülüğü ve uyarlanabilirliği, onu kötü niyetli aktörler için tercih edilen bir seçenek haline getirerek, gelişen tehdit ortamını ve bu tür saldırılara karşı koymak için sağlam güvenlik önlemlerine duyulan ihtiyacı vurguladı.
Güney Asya’daki yüksek değerli bir hedef, kimliği belirsiz bir tehdit aktörü veya bilinmeyen bir APT grubu tarafından saldırıya uğradı; saldırıda halka açık SpyNote kötü amaçlı yazılımı kullanıldı ve bu da tehdit aktörünün yüksek profilli bireyleri hedeflemede bu aracı tercih ettiğini ortaya koydu.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses