Cyble Research and Intelligence Labs (CRIL), Güney Kore’deki bireyleri özel olarak hedef alan gizli bir Android casus yazılım kampanyası tespit etti. Haziran 2024’ten beri aktif olan bu kötü amaçlı yazılım, Komuta ve Kontrol (C&C) sunucusu olarak bir Amazon AWS S3 kovasını kullanarak SMS mesajları, kişiler, resimler ve videolar gibi hassas kişisel verilerin sızdırılmasını kolaylaştırıyor.
Söz konusu Android casus yazılımı, büyük antivirüs çözümleri tarafından tespit edilememe becerisinde dikkate değer bir karmaşıklık gösterdi. CRIL, bu kötü amaçlı yazılımın dört benzersiz örneğini belgeledi ve bunların hepsi çeşitli güvenlik motorlarında çarpıcı bir sıfır tespit oranı sergiledi.
Android Casus Yazılım Kampanyasına Genel Bakış
Kurulum sırasında kullanıcılar, canlı video akışı, yetişkin içerik, geri ödeme işleme ve iç tasarım gibi meşru uygulamaları taklit eden zararsız görünümlü bir arayüzle karşılaşır. Kaynak kodunun basitliği, casus yazılımın asgari izinlerle çalışmasına olanak tanır, öncelikli olarak “READ_SMS”, “READ_CONTACTS” ve “READ_EXTERNAL_STORAGE”a odaklanır. Bu minimalist yaklaşım yalnızca gizliliğini artırmakla kalmaz, aynı zamanda temel kötü amaçlı yazılımların bile hassas bilgileri nasıl etkili bir şekilde tehlikeye atabileceğini de vurgular.
Casus yazılım yüklendikten sonra kullanıcıdan gerekli izinleri ister. Onaylandıktan sonra, onRequestPermissionsResult olarak bilinen Android API yöntemi aracılığıyla kötü amaçlı işlevselliğini etkinleştirir. Kötü amaçlı yazılım daha sonra SMS mesajları ve kişiler dahil olmak üzere verileri toplar ve bunları JSON dosyalarında depolar. Çalınan bu veriler daha sonra bir Amazon AWS S3 kovasında barındırılan C&C sunucusuna iletilir.
Açığa Çıkan Veri ve Güvenlik Açıkları
Enfekte cihazlardan sızdırılan veriler Amazon AWS S3 kovasında endişe verici bir şekilde açık bir şekilde saklanıyor ve saldırganların kolayca erişebilmesine olanak sağlıyor. Bu gözetim, operasyonel güvenlikte bir zaaf olduğunu gösteriyor. CRIL, casus yazılımı dağıtan iki kötü amaçlı URL tespit etti ve bunların ikisi de cihazları tehlikeye atabilecek APK dosyalarına yol açtı. URL’ler şunlardır:
- hxxps://iadekorea[.]cyou/REFUND%20KOREA.apk
- hxxps://bobocam365[.]yoğun bakım/indirilenler/pnx01.apk
S3 kovasındaki hassas verilerin ifşa edilmesi, CRIL’in kötüye kullanımı Amazon Trust and Safety’e bildirmesine yetecek kadar endişe vericiydi. Bu müdahalenin ardından, kötü amaçlı URL’ye erişim devre dışı bırakıldı ve bu da daha fazla veri erişimini etkili bir şekilde engelledi.
Kampanyanın Teknik Mekaniği ve Sonuçları
Bu Android casus yazılımının teknik işleyişi endişe verici bir eğilimi ortaya koyuyor. Kötü amaçlı yazılımın yürütülmesi, uygulamanın iddia edilen amacıyla uyumlu görünen zararsız bir ekranla başlıyor. Kurulumdan sonra, sistematik olarak çeşitli kişisel veri biçimleri topluyor.
Görüntü ve videoları toplamak için casus yazılım, cihazın içerik sağlayıcısına sorgu gönderir ve medya dosyalarını /media/+filename gibi belirli uç noktalar aracılığıyla C&C sunucusuna yükler. Ayrıca, kişiler ve SMS mesajları komut sunucusuna gönderilmeden önce ayrı JSON dosyalarına kaydedilir—phone.json ve sms.json.
Bu Android casus yazılım kampanyasının ortaya çıkışı, saldırganların kötü amaçlı altyapılarını barındırmak için Amazon AWS gibi güvenilir bulut hizmetlerini kullanma eğiliminin arttığını gösteriyor. Bu taktik, yalnızca geleneksel güvenlik önlemlerini aşmalarına yardımcı olmakla kalmıyor, aynı zamanda uzun bir süre boyunca tespit edilmekten kaçınarak düşük bir profil sürdürmelerini de sağlıyor. Saygın bulut hizmetlerinin kullanımı, operasyonlarına bir meşruiyet katmanı ekleyerek güvenlik uzmanlarının tehditleri tespit etmesini daha da zorlaştırıyor.
Çözüm
Android casus yazılımlarının karmaşıklığı gelişmeye devam ettikçe, kullanıcı gizliliği ve veri güvenliği üzerindeki etkileri giderek daha da vahim hale geliyor. Güney Kore’yi hedef alan bu özel kampanya, mobil cihazlarda bulunan potansiyel güvenlik açıklarının çarpıcı bir hatırlatıcısı.
Kötü amaçlı yazılımın veri depolama için Amazon AWS S3 kovasına güvenmesi, saldırganların operasyonel verimliliğini artırmak için güvenilir platformları istismar ettiği endişe verici bir eğilime örnek teşkil ediyor.