Ukrayna’ya para bağışlamakla suçlanan bir Rus programcı, bu yılın başlarında gözaltına alındıktan sonra Federal Güvenlik Servisi (FSB) tarafından Android cihazına gizlice casus yazılım yerleştirdi.
Bulgular, Birinci Bölüm ve Toronto Üniversitesi Vatandaş Laboratuvarı tarafından yapılan ortak bir araştırmanın parçası olarak geldi.
Rapora göre, “Cihazına yerleştirilen casus yazılım, operatörün diğer yeteneklerin yanı sıra hedef cihazın konumunu izlemesine, telefon görüşmelerini, tuş vuruşlarını kaydetmesine ve şifreli mesajlaşma uygulamalarından gelen mesajları okumasına olanak tanıyor.”
Mayıs 2024’te Kirill Parubets, Rus yetkililer tarafından 15 günlük idari gözaltı süresinin ardından serbest bırakıldı ve bu sırada Android 10 çalıştıran Oukitel WP7 telefonuna el konuldu.
Bu süre zarfında, yalnızca cihazının şifresini açıklamaya zorlamak için dövülmekle kalmadı, aynı zamanda kendisini FSB’ye muhbir olarak işe alması için “yoğun bir çabaya” da maruz kaldı, aksi takdirde ömür boyu hapis cezasıyla karşı karşıya kalma riskiyle karşı karşıya kaldı.
FSB, biraz zaman kazanmak ve kaçmak için de olsa ajans için çalışmayı kabul ettikten sonra cihazını Lubyanka genel merkezine iade etti. İşte bu aşamada Parubets, telefonun “Kol korteks vx3 senkronizasyonu” yazan bir bildirim de dahil olmak üzere alışılmadık davranışlar sergilediğini fark etmeye başladı.
O zamandan bu yana Android cihazın daha ayrıntılı bir incelemesi, cihazın gerçekten de orijinal Cube Call Recorder uygulamasının truva atı haline getirilmiş bir sürümüyle oynandığını ortaya çıkardı. Meşru uygulamanın paket adının “com.catalinagroup.callrecorder” olduğunu, sahte uygulamanın paket adının ise “com.cortex.arm.vx3” olduğunu belirtmekte fayda var.
Sahte uygulama, SMS mesajları, takvimler dahil olmak üzere çok çeşitli verileri toplamasına, ek paketler yüklemesine ve telefon çağrılarını yanıtlamasına olanak tanıyan izinsiz izinler istemek üzere tasarlanmıştır. Ayrıca meşru uygulamanın parçası olan tüm işlevlere erişebilir, telefon görüşmelerini kaydedebilir ve kişi listelerini okuyabilir.
Citizen Lab, “Uygulamanın kötü amaçlı işlevlerinin çoğu, casus yazılımın şifrelenmiş ikinci aşamasında gizlidir” dedi. “Casus yazılım telefona yüklendikten ve çalıştırıldıktan sonra ikinci aşamanın şifresi çözülür ve belleğe yüklenir.”
İkinci aşama, tuş vuruşlarını günlüğe kaydetme, dosyaları ve saklanan şifreleri ayıklama, diğer mesajlaşma uygulamalarındaki sohbetleri okuma, JavaScript enjekte etme, kabuk komutlarını yürütme, cihazın kilit açma şifresini alma ve hatta yeni bir cihaz yöneticisi ekleme özelliklerini içerir.
Casus yazılım aynı zamanda Lookout tarafından 2019’da belgelenen Monokle adlı başka bir Android casus yazılımıyla da bir miktar örtüşme gösteriyor; bu da bunun güncellenmiş bir sürüm olduğu ya da Monokle’nin kod tabanı yeniden kullanılarak oluşturulduğu olasılığını artırıyor. Spesifik olarak, iki suş arasındaki bazı komuta ve kontrol (C2) talimatlarının aynı olduğu bulunmuştur.
Citizen Lab, kaynak kodunda iOS’a yapılan atıfları da tespit ettiğini ve casus yazılımın iOS sürümünün olabileceğini öne sürdüğünü söyledi.
“Bu dava, bir cihazın fiziksel gözetiminin FSB gibi düşmanca bir güvenlik hizmetine verilmesinin, güvenlik hizmetlerinin cihazın gözetiminde olduğu süreyi aşacak ciddi bir uzlaşma riski olabileceğini gösteriyor” dedi.
Açıklama, iVerify’ın gazetecilere, hükümet yetkililerine ve şirket yöneticilerine ait iOS ve Android cihazlarda yedi yeni Pegasus casus yazılım bulaştığını tespit ettiğini açıklamasının ardından geldi. Mobil güvenlik firması, casus yazılım geliştiricisi NSO Group’u Rainbow Ronin olarak takip ediyor.
Güvenlik araştırmacısı Matthias Frielingsdorf, “iOS 16.6’da 2023’ün sonlarından itibaren bir saldırı, iOS 15’te Kasım 2022’de başka bir potansiyel Pegasus enfeksiyonu ve iOS 14 ve 15’te 2021 ve 2022’ye kadar uzanan beş eski enfeksiyon” dedi. “Bunların her biri sessizce izlenebilecek, verileri sahibinin bilgisi olmadan ele geçirilebilecek bir cihazı temsil ediyordu.”