Hint askeri personelini hedefleyen daha önce gözlemlenen bir Android kötü amaçlı yazılım ailesi, sohbet uygulamaları kisvesi kapsamında muhtemelen Tayvan’daki kullanıcılara yönelik yeni bir kampanyaya bağlanmıştır.
Perşembe günü Sophos Güvenlik Araştırmacısı Pankaj Kohli, “PJOBRAT, enfekte Android cihazlardan SMS, telefon kişileri, cihaz ve uygulama bilgileri, belgeler ve medya dosyalarını çalabilir.” Dedi.
İlk olarak 2021’de belgelenen PJOBRAT, Hint askeri ile ilgili hedeflere karşı kullanıldığı konusunda bir geçmişe sahiptir. Kötü amaçlı yazılımların sonraki yinelemeleri, muhtemel kurbanları aldatmak için tarihleme ve anlık mesajlaşma uygulamaları olarak maskelenmiş keşfedildi. En azından 2019’un sonlarından beri aktif olduğu biliniyor.
Kasım 2021’de Meta, şeffaf kabile içinde bir alt küme olduğuna inanılan Pakistan’a hizalanmış bir tehdit aktörünü, özellikle Afganistan’daki insanlara yönelik yüksek hedefli saldırıların bir parçası olarak, özellikle hükümet, ordu ve kolluk ile olanlarla yönlendirilen yüksek hedefli saldırıların bir parçası olarak atfetti.
Meta, “Bu grup, potansiyel hedeflere güven oluşturmak ve kimlik avı bağlantılarına tıklamaya veya kötü niyetli sohbet uygulamalarını indirmeleri için kandırmak için romantik yemler olarak hayali kişiler yarattı.” Dedi.
PJOBRAT, aygıt meta verilerini, iletişim listelerini, metin mesajlarını, çağrı günlüklerini, konum bilgilerini ve cihazdaki veya bağlantılı harici depolamayı hasat etmek için donatılmıştır. Ayrıca, cihazın ekranındaki içeriği kazıma için erişilebilirlik hizmetleri izinlerini kötüye kullanabilir.
Sophos tarafından toplanan telemetri verileri, en son kampanyanın Tayvanlı Android kullanıcıları üzerindeki manzaralarını eğittiğini ve enfeksiyon dizisini etkinleştirmek için Sangaallite ve CCHAT adlı kötü amaçlı sohbet uygulamalarını kullanarak eğittiğini gösteriyor. Bunların, Ocak 2023’e kadar uzanan en eski eserle birlikte birden fazla WordPress sitesinden indirilebileceği söyleniyor.
Siber güvenlik şirketine göre kampanya, Ekim 2024 civarında sona erdi veya en azından duraklatıldı, yani yaklaşık iki yıldır faaliyete geçti. Bununla birlikte, enfeksiyon sayısı nispeten küçüktü, aktivitenin hedeflenen doğasını düşündürdü. Android paket adlarının adları aşağıda listelenmiştir –
- org.complexy.hard
- com.happyho.app
- sa.aangal.lite
- net.over.simple
Şu anda kurbanların bu siteleri ziyaret etmek için nasıl aldatıldığı bilinmemektedir, ancak önceki kampanyalar herhangi bir gösterge ise, bir sosyal mühendislik unsuruna sahip olması muhtemeldir. Uygulamalar yüklendikten sonra, veri toplamalarına ve arka planda kesintisiz çalışmasına izin veren müdahaleci izinler talep eder.
Kohli, “Uygulamalar, kullanıcıların diğer kullanıcılarla kayıt yaptırmasına, giriş yapmasına ve sohbet etmesine izin veren temel bir sohbet işlevine sahiptir (bu nedenle, teorik olarak, enfekte kullanıcılar birbirlerinin kullanıcı kimliklerini biliyorlarsa birbirlerine mesaj atabilirler).” Dedi. “Ayrıca, komut ve kontrol (C2) sunucularını başlangıçta güncellemeler için kontrol ederek tehdit aktörünün kötü amaçlı yazılım güncellemeleri yüklemesine izin veriyorlar.”
Pjobrat’ın WhatsApp mesajlarını çalma yeteneğini barındıran önceki sürümlerinin aksine, en son lezzet, kabuk komutlarını çalıştırmak için yeni bir özellik ekleyerek farklı bir yaklaşım benimser. Bu sadece saldırganların olası Whatsapp sohbetlerini sifon yapmasına izin vermekle kalmaz, aynı zamanda enfekte telefonlar üzerinde daha fazla kontrol kullanır.
Başka bir güncelleme, komut ve kontrol (C2) mekanizması ile ilgili olarak, kötü amaçlı yazılımla birlikte, kurban verilerini yüklemek için HTTP kullanan iki farklı yaklaşım kullanıyor ve kabuk komutlarını göndermek ve bilgi vermek için Firebase Bulut Mesajlaşma (FCM) kullanıyor.
Kohli, “Bu özel kampanya sona ermiş olsa da, tehdit aktörlerinin ilk kampanyadan sonra sık sık retoollayıp yeniden hedefleyecekleri – kötü amaçlı yazılımlarında iyileştirmeler yapması ve yaklaşımlarını ayarlamaları – tekrar vurmadan önce.” Dedi.