Lookout, Orta Doğu askeri personelini hedef alan Android casus yazılımı GuardZoo’yu keşfetti. Bu kampanya, mobil cihazlarda sosyal mühendislik yoluyla kurbanları cezbetmek için askeri ve dini temalara sahip kötü amaçlı uygulamaları kullanıyor.
Araştırmacılar hala verileri aktif olarak analiz ederken, şimdiye kadar, öncelikli olarak Yemen, Suudi Arabistan, Mısır, Umman, Birleşik Arap Emirlikleri (BAE), Katar ve Türkiye’de bulunan kurbanlara ait 450’den fazla IP adresi gördüler. Uygulama cazibeleri, hedefleme ve tehdit aktörü tarafından kontrol edilen sunucu konumlarına dayanarak, Lookout GuardZoo’yu Yemenli, Husi yanlısı bir tehdit aktörü olarak nitelendiriyor. Ocak 2024’te, ABD hükümeti Husi milislerini Özel Olarak Belirlenmiş Küresel Terörist grubu olarak yeniden belirledi.
GuardZoo casus yazılımı
GuardZoo, Dendroid RAT adlı bir ticari casus yazılıma dayanmaktadır. Sık sık olduğu gibi, GuardZoo’nun arkasındaki geliştiriciler mevcut bir kötü amaçlı yazılım ailesini alıp güncellenmiş yeteneklere sahip yeni bir varyasyon yarattılar. Bu durumda, ilginç yeteneklerden biri GuardZoo’nun tehdit aktörü ile kurbanın cihazı arasında bir kanal görevi görebilmesi ve tehdit aktörü tarafından enfekte cihaza ek kötü amaçlı yazılım indirilmesine olanak sağlamasıdır. Bu, tehdit aktörü için faydalı olabilecek ek istilacı yetenekler sunabilir.
Araştırmacılar ayrıca son GuardZoo örneklerinin “Silahlı Kuvvetlerin Anayasası”, “Sınırlı – Komutan ve Kurmay” ve “Yeni Silahlı Kuvvetlerin Yeniden Yapılandırılması” gibi dini, e-kitap ve askeri temalı uygulamalar olarak kullanıldığını fark ettiler. Kayıt girişleri gözlemlendiğinde, askeri liderliğe ait sızdırılmış belgelerin keşfiyle askeri personelin hedef alınması kesinleşti. Örneğin, bir belgenin başlığı “Çok Gizli, Yemen Cumhuriyeti, Savunma Bakanlığı, Genelkurmay Başkanı, Savaş Harekat Dairesi, Sigorta Birimi” olarak çevrildi.
Lookout Ürün ve Güvenlikten Sorumlu Başkan Yardımcısı Aaron Cockerill, “GuardZoo’nun keşfi, gelişmiş gözetleme yazılımlarının oluşturduğu büyüyen tehdidin bir hatırlatıcısı,” dedi. “Bu casus yazılım paketleri, enfekte olmuş cihazlardan çok çeşitli veriler toplamak için kullanılabilir ve GuardZoo durumunda bu, askeri personeli ve operasyonları riske atabilir. Güvenlik uzmanlarını bu tehdidin farkında olmaya ve kullanıcılarını, iş ve kişisel verilerini korumak için adımlar atmaya çağırıyoruz.”
Kendinizi GuardZoo’dan nasıl koruyabilirsiniz?
Araştırmacılar, hem ticari hem de kişisel Android cihazlarınızı GuardZoo ve diğer gözetleme yazılımlarından korumak için herkesin uygulayabileceği şu temel adımları öneriyor.
- İşletim sisteminizi ve uygulamalarınızı güncel tutun; güncellemelerin çoğu güvenlik yamalarıyla ilgilidir.
- Yalnızca Google Play’den uygulama yükleyin, üçüncü taraf kaynaklardan değil. Bir web sitesinden uygulama yüklemenizi isteyen bir mesaj alırsanız, numarayı hemen engelleyin ve olayı BT veya güvenlik ekibinize bildirin.
- Mobil uygulamaların istediği izinlerin farkında olun. Meşru uygulamalardan bile aşırı müdahaleci izinler, kuruluşunuz için veri riski oluşturabilir.
- Kötü amaçlı yazılımları tespit edip onlara karşı koruma sağlamak ve kuruluşunuzu güvende tutmak için bir mobil güvenlik çözümü uygulayın.