Siber güvenlik araştırmacıları, Facebook ve Instagram gibi sosyal medya platformlarından bilgileri çıkarmak için genişletilmiş bir veri toplama özellikleriyle donatılmış LightSpy implantının güncellenmiş bir sürümünü işaretlediler.
LightSpy, veri toplama amacıyla hem pencereleri hem de Apple sistemlerini enfekte edebilen modüler bir casus yazılım için verilen addır. İlk olarak 2020’de Hong Kong’daki kullanıcıları hedefleyen belgelendi.
Buna Wi-Fi ağ bilgileri, ekran görüntüleri, konum, iCloud anahtarlık, ses kayıtları, fotoğraflar, tarayıcı geçmişi, kişiler, çağrı geçmişi ve SMS mesajları ve Dosyalar, Line, Mail Master, Telegram, Tencent QQ, gibi çeşitli uygulamalardan verileri içerir. Wechat ve Whatsapp.
Geçen yılın sonlarında, TehditFabric, desteklenen cihazın 12’den 28’e kadar genişletilmesinin yanı sıra, tehlikeye atılan cihazın önyüklemesini önlemek için yıkıcı yetenekleri içeren kötü amaçlı yazılımların güncellenmiş bir sürümünü detaylandırdı.
Önceki bulgular, LightSpy ve Dragonegg adında bir Android kötü amaçlı yazılım arasındaki potansiyel örtüşmeleri de ortaya çıkardı ve tehdidin platformlar arası doğasını vurguladı.
Hunt.io’nun casus yazılımlarla ilişkili kötü amaçlı komut ve kontrol (C2) altyapısının son analizi, Android, iOS, Windows, macOS, yönlendiriciler ve Linux’u kapsayan 100’den fazla komut için destek ortaya koydu.
Şirket, “Yeni komut listesi, iletim yönetimi (‘taşıma kontrolü’) ve eklenti sürümü izleme (‘eklenti sürümü ayrıntılarını yükle’) dahil olmak üzere odağı doğrudan veri toplamadan daha geniş operasyonel kontrole kaydırıyor.” Dedi.
“Bu eklemeler, LightSpy operatörlerinin dağıtımları birden fazla platformda daha verimli bir şekilde yönetmelerine olanak tanıyan daha esnek ve uyarlanabilir bir çerçeve öneriyor.”
Yeni komutlar arasında dikkate değer olan, Android cihazlardan veri çıkarma için Facebook ve Instagram uygulama veritabanı dosyalarını hedefleme yeteneğidir. Ancak ilginç bir bükülmede, tehdit aktörleri kurban sunucusundaki yıkıcı eylemlerle ilişkili iOS eklentilerini kaldırdı.
Ayrıca, çoğu Keylogging, Ses Kaydı ve USB etkileşimine yönelik olan sistem gözetimi ve veri toplama için tasarlanmış 15 pencereye özgü eklenti de keşfedildi.
Tehdit istihbarat firması, yönetici panelinde günlüğe kaydedilmiş kullanıcılara enfekte olmuş mobil cihazları uzaktan kontrol etme olanağı sağlayan bir uç nokta (“/telefon/PhoneInfo”) keşfettiğini söyledi. Şu anda bunların yeni gelişmeleri veya daha önce belgelenmemiş eski sürümleri temsil edip etmediği bilinmemektedir.
Hunt.io, “Mesajlaşma uygulamalarını hedeflemeden Facebook ve Instagram’a geçiş, LightSpy’nin yaygın olarak kullanılan sosyal platformlardan özel mesajlar, iletişim listeleri ve hesap meta verilerini toplama yeteneğini genişletiyor.” Dedi.
“Bu veritabanı dosyalarının çıkarılması, saldırganlara depolanan konuşmalar, kullanıcı bağlantıları ve potansiyel olarak oturumla ilgili veriler sağlayarak gözetim özelliklerini ve daha fazla sömürü için fırsatları artırabilir.”
Açıklama, Cyfirma’nın Google Play Store’da Finance Basitleştirilmiş (APK adı “com.someca.count”) adlı bir finansal uygulama olarak maskelenen bir Android kötü amaçlı yazılımın ayrıntılarını açıkladığı ancak yırtıcı kredi, şantaj ve gasp Hintli kullanıcılar.
Şirket, “Konum tabanlı hedeflemeden yararlanarak uygulama, tamamen WebView içinde çalışan ve saldırganların oyun mağazası incelemesini atlamasına izin veren yetkisiz kredi uygulamalarının bir listesini görüntüler.” Dedi.
“Kurulduktan sonra, bu kredi uygulamaları hassas kullanıcı verilerini hasat eder, sömürücü kredi uygulamalarını uygular ve şantaj taktiklerini zorla paraya kullanır.”
Reklamı yapılan kredi uygulamalarından bazıları KreditPro (eski adıyla Kreditapple), Moneyape, Stashfur, Fairbalance ve PokketMe’dir. Hindistan dışından basitleştirilmiş finans yükleyen kullanıcılara, kişisel finans, muhasebe ve vergilendirme için çeşitli hesap makinelerini listeleyen zararsız bir web görüntüsü sunulur ve kampanyanın özellikle Hintli kullanıcıları hedeflemek için tasarlandığını düşündürmektedir.
Uygulama artık resmi Android App Marketplace’ten indirilebilir. Sensör Kulesi’nde bulunan istatistiklere göre, uygulama 2024 Aralık ortalarında yayınlandı ve 100.000’den fazla kurulum çekti.
“Başlangıçta zararsız bir finans yönetimi uygulaması olarak sunuldu, bir kez yükledikten sonra, dosyalar, kişiler, çağrı günlükleri, SMS, pano içeriği ve hatta hatta hassas verilere erişmek için kapsamlı izinler kazanan harici bir indirme URL’sinden bir sahtekarlık kredisi uygulaması indirir. Kamera, “Cyfirma belirtti.
Hint perakende bankacılık müşterileri, meşru banka uygulamalarını taklit eden, ancak yetkisiz işlemler yaparak giriş bilgilerini toplamak ve finansal sahtekarlığı kolaylaştırmak için tasarlanmış bir kötü amaçlı yazılım kodlu Finstealer’ı dağıtan başka bir kampanyanın hedefi haline gelmiştir.
Şirket, “Kimlik avı bağlantıları ve sosyal mühendislik yoluyla dağıtılan bu sahte uygulamalar, meşru banka uygulamalarını yakından taklit ederek kullanıcıları kimlik bilgilerini, finansal verileri ve kişisel bilgileri açığa çıkarmaya kandırıyor.” Dedi.
“Telegram botlarını kullanarak, kötü amaçlı yazılım, şüphe yaratmadan talimatlar alabilir ve çalınan verileri gönderebilir, bu da güvenlik sistemlerinin iletişimi algılamasını ve engellemesini zorlaştırır.”