Gilgit-Baltistan bölgesine hitap eden bölgesel bir haber sitesinin Urduca konuşan okuyucuları, muhtemelen daha önce belgelenmemiş bir Android casus yazılımını dağıtmak için tasarlanmış bir sulama deliği saldırısının hedefi olarak ortaya çıkmışlardır. Kamran.
ESET, kampanyanın Hunza News’den yararlandığını keşfetti (urdu.hunzanews)[.]net), bir mobil cihazda açıldığında Urduca sürümünün ziyaretçilerinden doğrudan web sitesinde barındırılan Android uygulamasını yüklemelerini ister.
Ancak uygulama, kötü niyetli casusluk yetenekleri içeriyor ve saldırı bugüne kadar en az 20 mobil cihazı tehlikeye atıyor. Bölgede toprak hakları, vergilendirme ve kapsamlı elektrik kesintileri nedeniyle kitlesel protestoların düzenlendiği 7 Ocak ile 21 Mart 2023 tarihleri arasında bu bilgilere web sitesinde erişilebiliyor.
Paket kurulumunun ardından etkinleştirilen kötü amaçlı yazılım, izinsiz izinler talep ederek cihazlardan hassas bilgileri toplamasına olanak tanıyor.
Buna kişiler, arama kayıtları, takvim etkinlikleri, konum bilgileri, dosyalar, SMS mesajları, fotoğraflar, yüklü uygulamaların listesi ve cihaz meta verileri dahildir. Toplanan veriler daha sonra Firebase’de barındırılan bir komuta ve kontrol (C2) sunucusuna yüklenir.
Kamran, uzaktan kontrol yeteneklerinden yoksun ve aynı zamanda tasarımı itibariyle de basit; sızma faaliyetlerini yalnızca kurban uygulamayı açtığında gerçekleştiriyor ve halihazırda iletilmiş olan verileri takip edecek hükümlerden yoksun.
Bu, aynı bilgiyi, arama kriterlerini karşılayan yeni verilerle birlikte tekrar tekrar C2 sunucusuna gönderdiği anlamına gelir. Kamran’ın henüz bilinen herhangi bir tehdit aktörü veya grubuyla ilişkilendirildiği belirtilmedi.
“Bu kötü amaçlı uygulama hiçbir zaman Google Play Store üzerinden sunulmadığı ve Google tarafından bilinmeyen olarak adlandırılan kimliği belirsiz bir kaynaktan indirildiği için, bu uygulamayı yüklemek için kullanıcıdan bilinmeyen kaynaklardan uygulama yükleme seçeneğini etkinleştirmesi rica olunur.” Araştırmacı Lukáš Štefanko şöyle konuştu: