Mobil güvenlik firması Zimperium, İranlı bir bilgisayar korsanlığı grubunun, öncelikle kurumsal kullanıcıları hedef alan kapsamlı bir kampanyada yeni Android casus yazılımlarını kullandığını açıkladı.
Bu kampanyaya dahil olan grubun adı “AppMilad”, kullanılan casus yazılımın adı ise “RatMilad”. Dosya işleme, ses kaydı ve uygulama izni değişikliği gibi işlevler dahil olmak üzere kurbanın cihazına yüklendikten sonra çok çeşitli kötü amaçlı eylemler gerçekleştirebilir.
Casus Yazılım Detaylı Analizi
Zimperium’un araştırmasına göre, AppMilad’daki tehdit aktörleri, kötü niyetli uygulamayı şüphelenmeyen kullanıcıların cihazlarına yüklemek için kampanyayı tasarladı. Zimperium bir casus yazılım örneğini inceledi VPN’i kullanma ve Text Me olarak tanımlanan telefon numarası sahtekarlığı uygulaması.
Başka bir canlı RatMilad örneği, NumRent adlı bir Text Me varyantı aracılığıyla dağıtıldı. Ayrıca, dolandırıcılar uygulamayı dağıtmak için bir ürün web sitesi geliştirdiler ve sosyal mühendislik, bunun yasal bir uygulama olduğuna inanmayı hedefliyor.
RatMilad Yetenekleri
Akıllıca geniş bir izin yelpazesi elde edebildiğinden, casus yazılım, konum ve MAC adresi gibi önemli cihaz verilerine ve telefon aramaları, iletişim numaraları, medya dosyaları ve SMS mesajları dahil olmak üzere kullanıcı verilerine erişebilir.
Ek olarak, saldırganlar cihazın kamerasına ve mikrofonuna erişerek ses/video kaydetmelerine ve fotoğraf çekmelerine olanak tanır. Diğer özellikler şunları içerir: pano verilerini toplamaSIM bilgileri ve okuma/yazma işlemlerini gerçekleştirme.
Potansiyel Hedefler ve İşleyiş Yöntemleri
Kötü amaçlı yazılımın hedefi bir Orta Doğu VPN kılığında kurumsal mobil cihaz ve telefon numarası sahtekarlığı uygulaması. Uygulama yüklendikten ve gerekli izinler verildikten sonra, casus yazılım cihazlara hızla yüklenir ve kısa sürede bilgi toplamaya başlar.
RatMilad, güvenliği ihlal edilmiş mobil uç noktadan çok yönlü bir veri dizisinin sızması için komutları alabilen/yürütebilen gelişmiş mobil casus yazılım olarak işlev görür. Uygulama, sosyal medya bağlantıları ve aşağıdakiler gibi iletişim platformları aracılığıyla dağıtılır: Telgraf.
simperyum açıkladı Telegram kanalının kötü amaçlı yazılımı dağıtmak için kullanıldığını ve Android uygulamasına bağlantı veren gönderi 4.700’den fazla görüntülenmeyle övünüyor. 200’den fazla kez paylaşıldı, ancak bu kesin bir sayı değil. Kullanıcıları uygulamayı yan yüklemeye ve geniş kapsamlı izinlere izin vermeye kandırır.
“RatMilad casus yazılımı ve İran merkezli hacker grubu AppMilad, mobil cihaz güvenliğini etkileyen değişen bir ortamı temsil ediyor.”
Zimperium Mobil Tehdit İstihbaratı Direktörü Richard Melick
Daha Fazla İranlı Tehdit Aktör Haberi
- İranlı bilgisayar korsanları İsrailli LGBTQ flört uygulaması verilerinin hazinesini sızdırıyor
- İranlı bilgisayar korsanları, fidye yazılımı kılığında İsrail’i disk silecekle vurdu
- İranlı bilgisayar korsanları, Dharma fidye yazılımıyla işletmeleri vurmak için RDP kullanıyor
- Maruz kalan: Android arka kapısını kullanan 6 yaşındaki İranlı casus saldırısı
- Microsoft, İranlı bilgisayar korsanları tarafından kimlik avı saldırıları için kullanılan 99 siteyi ele geçirdi