Kendini Çin Savcısı’nın (检察院) resmi uygulaması olarak gizleyen sofistike bir Android casus yazılım kampanyası ortaya çıktı.
SPYMAX/Spynote ailesinin bu gelişmiş varyantı, anakara Çin ve Hong Kong’da Çince konuşan kullanıcıları hedefliyor ve kurbanların cihazlarının tam olarak tam kontrolünü elde etmek için cilalı sosyal mühendislik teknikleri ve aldatıcı kullanıcı arayüzü öğeleri aracılığıyla Android erişilebilirlik hizmetlerini kullanıyor.
İzin verildikten sonra, kötü amaçlı yazılım, kişisel verilere ve cihaz işlevlerine endişe verici bir erişim seviyesi elde eder. Mesajlara, aramalara, GPS konum verilerine, kamera işlevlerine ve mikrofon kayıtlarına erişebilir – hatta cihazın ekranı kapalıyken arka planda sessizce çalışır.
.png
)
Modüler tasarım, komut yürütme bileşenleri, kamera/mikrofon kontrolü ve şifreli HTTP’ler üzerinden veri eksfiltrasyonu içerir.
Tehdit araştırmacıları bu tehdidi Nisan 2025 başlarında belirlediler ve özellikle sosyal mühendisliğe yönelik sofistike yaklaşımına dikkat çekti.
Kötü amaçlı yazılım 4 Nisan’da tespit edildi ve dağıtım öncelikle üçüncü taraf uygulama mağazalarında gerçekleşti ve burada APK adı “检察院” adlı meşru hükümet yazılımı olarak maskelendi.
Bu kampanyanın etkisi basit veri hırsızlığının ötesine uzanıyor. Mağdurlar yetkisiz finansal işlemler, premium SMS sahtekarlığı ve dijital ve fiziksel aktivitelerinin tamamen gözetimi yaşayabilir.
Teknik analiz, kötü amaçlı yazılım depolarını kategorize edilmiş dosyalarda çalınan verileri ortaya çıkarır, bunları şifreler ve 165.154.110.64 numaralı telefondan komut ve kontrol sunucusuna ilettikten sonra izleri siler.
Bu tehdidin sofistike doğası, ekran etkinliği, pil seviyesi ve ağ koşulları dahil olmak üzere sistem durumlarına dayalı davranışları dinamik olarak tetikleme yeteneği ile kanıtlanmıştır – ortalama kullanıcıların tespit etmesini özellikle zorlaştırır.
Enfeksiyon mekanizması: aldatıcı kullanıcı arayüzü
Bu kötü amaçlı yazılımın en sinsi yönü enfeksiyon mekanizmasında yatmaktadır. Saldırganlar, Android’in Erişilebilirlik Ayarları sayfasını tam olarak taklit eden tamamen etkileşimli bir HTML arayüzü tasarladılar.
Bu sahte arayüz, kullanıcıları şüphe yaratmadan eleştirel izinler vermeye ikna etmek için hazırlanmış animasyonlu düğmeler ve resmi görünümlü düzenler içerir.
Aldatıcı arabirim, sistem ayarları ekranlarının ikna edici bir kopyasını oluşturmak için gelişmiş web teknikleri kullanır. Kullanıcılar bu sahte arayüzlerle etkileşime girdiğinde, kötü amaçlı yazılım, kullanıcıya meşru görünüşte onay mesajları görüntülerken arka planda tehlikeli izinleri sessizce talep eder ve etkinleştirir.
Bu, kötü amaçlı yazılım dayanağını oluştururken her şeyin normal çalıştığı kesintisiz bir yanılsama yaratır.
// Sample code demonstrating permission hijacking technique
document.getElementById('accessibility-toggle').addEventListener('click', function() {
// Request critical permissions while appearing legitimate
requestAccessibilityPermission();
// Hide actual warning messages that might alert the user
document.querySelector('.warning-message').style. Display = 'none';
// Show fake confirmation instead
document.querySelector('.fake-confirmation').style. Display = 'block';
});Bu sofistike yaklaşım, SPYMAX’ın hassas izinler talep ederken kullanıcıların doğal şüphe duymasına ve enfeksiyon oranlarını önemli ölçüde artırmasına izin verir.
Erişilebilirlik hizmetleri etkinleştirildikten sonra, kötü amaçlı yazılım ekran içeriğini okuma, uygulamalarla özerk bir şekilde etkileşim kurma ve kullanıcı etkileşimlerini engelleme olanağı kazanır – esasen saldırganlara tehlikeye atılan cihazın tam uzaktan kumandası sağlar.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy