İsrailli Android kullanıcıları, vaat edilen işlevselliği sunarken arka planda casus yazılım görevi gören ‘RedAlert – Rocket Alerts’ uygulamasının kötü amaçlı bir sürümü tarafından hedef alınıyor.
RedAlert – Rocket Alerts, İsrail vatandaşlarının ülkeyi hedef alan roketlere ilişkin bildirimleri almak için kullandığı meşru bir açık kaynaklı uygulamadır. Uygulama oldukça popülerdir ve Google Play’de bir milyondan fazla indirmeye sahiptir.
Hamas teröristlerinin geçen hafta Güney İsrail’de binlerce roket içeren saldırısını başlatmasından bu yana, insanların kendi bölgelerine gelecek hava saldırıları hakkında zamanında uyarı arayışına girmesiyle uygulamaya olan ilgi arttı.
Cloudflare’e göre, motivasyonu ve kökeni bilinmeyen bilgisayar korsanları, uygulamaya yönelik artan ilgiden ve casus yazılım yükleyen sahte bir sürümü dağıtmak için saldırı korkusundan yararlanıyor.
Bu kötü amaçlı sürüm “redalerts” web sitesinden dağıtılıyor[.]12 Ekim 2023’te oluşturulan bu uygulama, iOS ve Android platformlarına yönelik uygulamayı indirmek için iki düğme içeriyor.
İOS indirmesi, kullanıcıyı Apple App Store’daki meşru projenin sayfasına yönlendirir, ancak Android düğmesi doğrudan cihaza kurulacak bir APK dosyasını indirir.
Casus yazılım uyarısı
İndirilen APK, gerçek RedAlert uygulamasının meşru kodunu kullanır, dolayısıyla tüm normal işlevleri içerir ve meşru bir roket uyarı aracı olarak görünür.
Ancak Cloudflare, uygulamanın kurbanlardan kullanıcının kişilerine, numaralarına, SMS içeriğine, yüklü yazılım listesine, arama kayıtlarına, telefon IMEI’sine, oturum açmış e-posta ve uygulama hesaplarına ve daha fazlasına erişim dahil olmak üzere ek izinler istediğini tespit etti.
Uygulama başlatıldığında, veri toplamak, CBC modunda AES ile şifrelemek ve sabit kodlanmış bir IP adresine yüklemek için bu izinleri kötüye kullanan bir arka plan hizmeti başlatır.
Uygulama aynı zamanda onu araştırmacılardan ve kod inceleme araçlarından koruyan hata ayıklama önleme, öykünme önleme ve test önleme mekanizmalarına da sahiptir.
RedAlert güvenlik ipuçları
Sahte site bu yazının yazıldığı sırada çevrimdışıdır. Ancak tehdit aktörleri, operasyonlarının açığa çıkmasının ardından büyük olasılıkla yeni bir alana yönelecek.
Gerçek ve bağlı versiyonları birbirinden ayırmanın basit bir yolu, uygulamanın kurulum sırasında talep ettiği veya cihazınızda zaten yüklü olması durumunda erişebildiği izinleri gözden geçirmektir.
Bunu kontrol etmek için uygulamanın simgesine uzun basın, ‘Uygulama bilgileri’ni seçin ve ‘İzinler’e dokunun.
Ayrıca, var rapor edildi Vakalar kaçırmalar gerçek RedAlert uygulamasında, hacktivistler kullanıcılara sahte bildirimler göndermek için API kusurlarından yararlanıyor.
Bu tür olayların olasılığını en aza indirmek için mevcut tüm güvenlik düzeltmelerini içeren en son uygulama sürümünü kullandığınızdan emin olun.