Doktor Web, Android.backdoor.916.origin’i uyarıyor, verileri çalarak, ses ve video akışı yaparak Rus kullanıcılarına casusluk yapan sahte bir antivirüs uygulaması.
Doctor Web’deki siber güvenlik araştırmacıları, yeni bir Android kötü amaçlı yazılım suşu hakkında uyarıyor Android.Backdoor.916.origin. Kötü amaçlı yazılım Ocak 2025’ten beri faaliyet göstermektedir ve konuşmaları dinleyebilir, mesajları çalabilir, video akışı ve tuş vuruşlarını günlüğe kaydetebilir.
Bu, son dört ayda ikinci kez araştırmacıların Rus altyapısını hedefleyen kötü amaçlı yazılımları tespit ettikleri. Nisan 2022’deDoctor Web, Rus ordusuna casusluk yapan sahte bir Alpe Quest haritalama uygulaması ortaya koydu.
Sahte sonuçlarla sahte anti-virüs android uygulaması
Doctor Web’in ekibi bunun günlük Android sahiplerine yönelik kitlesel bir enfeksiyon girişimi değil, Rus iş temsilcilerini hedeflemek için oluşturulan bir araç olduğuna inanıyor. Dağıtım yöntemi, saldırganlar kötü amaçlı yazılımları elçilerdeki doğrudan mesajlar aracılığıyla zorlayıp GuardCB adı verilen bir anti-virüs olarak gizledikçe bu teoriyi destekliyor.
Sahte uygulama kurbanları kandırmak için bir kılık değiştirir. Simgesi, bir kalkan üzerine yerleştirilen Rus Merkez Bankası’nın amblemine benziyor ve bu da güvenilir görünmesini sağlıyor. Kurulduktan sonra, ikna edici görünmek için rastgele oluşturulan sahte algılama sonuçlarıyla tamamlanan bir antivirüs taraması gibi görünen şeyleri çalıştırır.
“Bu, “Security_FSB”, “фб” (FSB) ve diğerleri gibi isimlerle diğer tespit edilen değişiklikler ve siber suçluların Rus kolluk kuvvetleri ile ilişkili güvenlik ile ilgili programlar olarak geçmeye çalıştığı diğer değişiklikler tarafından doğrulanır.“ Dr Web araştırmacıları Blog yazısı.
Kurulduktan sonra, arka kapı coğrafi konumdan ve ses kayıtlarından kamera erişimine ve SMS verilerine kadar bir izin listesi ister. Ayrıca, cihaz yöneticisi hakları ve Android’in erişilebilirlik hizmetine erişim gerektirir, bu da aşağıdakiler de dahil olmak üzere popüler uygulamalardan bir keylogger gibi hareket etmesini ve içeriği kesmesini sağlar:
- Gmail
- Telgraf
- Yandex tarayıcı
- Google Chrome
Canlı ses ve yayın videosu
Doktor Web araştırmacıları, kötü amaçlı yazılımın kalıcılık için tasarlandığını açıklar. Kendi arka plan hizmetlerini başlatır, her dakika çalışıp çalışmadıklarını kontrol eder ve gerekirse yeniden başlatır. Ayrıca, saldırganlar altyapıyı canlı tutmak istiyorsa, 15’e kadar barındırma sağlayıcısı arasında geçiş yapabilen birden fazla komut ve kontrol sunucusu ile iletişim kurar.
Doctor Web’in raporunda bulunan mevcut komutların listesi, casusluk yeteneklerinin kapsamını göstermektedir. Bir mikrofondan canlı akış sesi, kameradan video yayınlayabilir, kullanıcılar yazdıkça metin çalabilir ve kişiler, SMS, resimler ve çağrı geçmişi yükleyebilir. Ayrıca, bir cihazın ekranını gerçek zamanlı olarak aktarma yeteneğine bile sahiptir.
Android’in Erişilebilirlik Hizmetinden yararlanmak
Kötü amaçlı yazılım ayrıca Android’in erişilebilirlik hizmetinden kendini korumanın bir yolu olarak yararlanır. Bu özellik sadece tuş vuruşlarını çalmak için değil, aynı zamanda saldırganların böyle bir komut vermesi durumunda kötü amaçlı yazılımları kaldırma girişimlerini de engellemek için istismar edilir. Kendini koruma kabiliyeti, mağdurların cihazlarının tehlikeye atıldığını fark etseler bile, tahsis edilmiş güvenlik yazılımı olmadan kaldırma zor olabileceği anlamına gelir.
Doctor Web, kötü amaçlı yazılım gelişmiş olsa da, aynı zamanda yüksek lokalize olduğunu belirtiyor. Arayüzü yalnızca Rusça olarak mevcuttur ve belirli bir hedef grubu göz önünde bulundurularak oluşturulduğu görüşünü desteklemektedir.
Rusya’da bir Android kullanıcısıysanız, yalnızca güvenilir kaynaklardan uygulamaları indirin ve Android’in açık kaynaklı doğasının bilgisayar korsanları için açık bir davet haline gelmesine izin vermekten kaçının.