Yakın zamanda idari gözaltından serbest bırakılan bir Rus programcı, Android cihazında karmaşık bir casus yazılım keşfetti ve bu durum, Rus yetkililerin uyguladığı potansiyel gözetleme taktikleri hakkında alarm zillerini çaldırdı.
Bu raporda isminin açıklanmasını kabul eden Kirill Parubets, Ukrayna’ya para transferi yaptığı iddiasıyla 15 gün gözaltında tutuldu.
Tutukluluğu sırasında Parubets, Rusya Federal Güvenlik Servisi (FSB) tarafından dayağa maruz kaldı ve yoğun işe alım çabalarına maruz kaldı; işbirliği yapmaması halinde ömür boyu hapis cezasıyla tehdit edildi.
Serbest bırakılmasının ardından Parubets’in ele geçirilen Android cihazı, FSB genel merkezinde kendisine iade edildi.
Citizen Lab araştırmacıları, Android 10 çalıştıran Oukitel WP7 cihazında “Arm cortex vx3 senkronizasyonu” yazan şüpheli bir bildirim de dahil olmak üzere olağandışı davranışları hemen fark ettiğini belirtti.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Teknik Analiz
Sürgündeki Rus insan hakları avukatı Ivan Pavlov tarafından kurulan bir hukuki yardım kuruluşu olan Birinci Departman, Parubets’in cihazını inceledi ve gözaltı sırasında yüklendiği anlaşılan kötü amaçlı bir uygulamanın varlığını tespit etti. Citizen Lab tarafından yapılan daha sonraki analizler casus yazılımın varlığını doğruladı.
Casus yazılım, meşru Cube Call Recorder uygulamasının truva atı haline getirilmiş bir sürümüdür. Konum bilgilerine erişim, SMS mesajları ve kamera işlevleri de dahil olmak üzere, orijinal uygulamada bulunmayan çok sayıda izin talep ediyor.
.webp)
Bunun yanı sıra, kötü amaçlı yazılım iki aşamadan oluşur; ikinci aşama, tespit edilmekten kaçınmak için şifrelenir. İşlevsellik konum izlemeyi, ekran yakalamayı, tuş kaydetmeyi, çağrı kaydetmeyi ve dosya çıkarmayı içerirken
Teknik uzmanlar, bu casus yazılımın daha önce Rus tehdit aktörleriyle bağlantılı olan Monokle ailesiyle ilgili olabileceğinden şüpheleniyor. Benzerlikler şunları içerir: –
- Çakışan komut ve kontrol sunucusu komutları
- Kötü amaçlı yazılım hazırlama için benzer klasörlerin kullanılması
- Erişilebilirlik ayarlarının kullanımı
- Meşru uygulamaların truva atına dönüştürülmesi
Ancak dosya şifrelemedeki ve istenen izinlerdeki bazı farklılıklar, bunun Monokle’ın güncellenmiş bir sürümü veya orijinal kodun büyük bir kısmı kullanılarak oluşturulmuş yeni bir yazılım olabileceğini düşündürmektedir.
Özellikle Rusya gibi otoriter devletlerde, cihazlarının fiziksel gözetimini bu tür kuruluşlara kaptıran kişilerin, cihazın geri verilmesi üzerine uzman yardımı almaları şiddetle tavsiye edilmektedir.
Bu gelişmiş casus yazılımın keşfi, Rusya’daki sivil toplum üyelerinin ve muhaliflerin karşı karşıya kaldığı süregelen zorlukların yanı sıra devlet aktörlerinin dijital gözetleme ve kontrol konusunda kullandığı gelişen taktiklerin altını çiziyor.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses