Birleşik Arap Emirlikleri’nde mesajlaşma uygulamaları kullanıyorsanız (BAE), ESET’teki siber güvenlik araştırmacıları, kullanıcıları sinyal ve totok’un sahte sürümlerini yüklemeye kandıran iki mobil casus yazılım kampanyası belirlediler, daha sonra enfekte cihazlardan kişiler, mesajlar, yedeklemeler, dosyalar ve daha fazlası dahil kişisel verileri çaldılar.
Prospy denilen bir kötü amaçlı yazılım suşu (Android/Spy.ProSpy), sahte bir “şifreleme eklentisi” ve Totok Pro eklentisi olarak sunuldu. Diğeri, Tospy (Android/Spy.ToSpy), kendisini taklit eder. Her iki uygulama da resmi uygulama mağazalarında görünmüyor; Mağdurlar, APK dosyalarını klonlanmış web sitelerinden veya meşru hizmetlere benzemek için tasarlanmış üçüncü taraf sayfalarından manuel olarak yüklemelidir.
Sinyal, bildiğimiz gibi, popüler bir şifreli mesajlaşma uygulamasıdır. Öte yandan Totok’un tartışmalı bir geçmişi var. Gibi bildirilmiş Hackread.com tarafından Aralık 2019’da Totok, ülkedeki kullanıcılara casusluk yapmakla suçlanan ve Apple ve Google’ın mağazalarından kaldırmasına yol açan BAE tarafından geliştirilen bir mesajlaşma uygulamasıydı. Bugün, uygulama yalnızca güvenilmez üçüncü taraf kaynaklar aracılığıyla kullanılabilir.
Kötü amaçlı yazılım aldatmaca, Sosyal Mühendislik İnsanların tanınan markalara olan güvenini kullanarak saldırı, logolarını kopyalayın, ekranları ve mağaza düzenlerini saklayın. ESET’in Uzun Technics’e göre Blog yazısıbazı durumlarda, sahte sinyal uygulaması, kurulumdan sonra Google Play hizmetleri gibi görünecek simgesini ve adını bile değiştirir, bu da kullanıcıların tespit etmesini ve kaldırmasını zorlaştırır.
Casus yazılım çalıştığında, kişiler ve depolama erişimi gibi birçok uygulamanın meşru bir şekilde ihtiyaç duyduğu izinler ister. Verilirse, casus yazılım cihaz ayrıntılarını, SMS mesajlarını, iletişim listelerini, yüklü uygulama listelerini ve sohbet yedeklemeleri de dahil olmak üzere dosyaları toplar.
Tospy, özellikle saldırganların sohbet geçmişiyle ilgilendiğini gösteren totok yedekleme dosyalarını hedefliyor. Toplanan tüm veriler, sert kodlanmış bir AES tuşuyla şifrelenir, daha sonra komuta ve kontrol sunucularına gönderilir.
ESET’in araştırması bunun yeni bir operasyon olmadığını gösteriyor. Şirketin telemetri ve alan verileri izleri, 2022’nin ortasına kadar, 2025’te devam eden aktivite ve aktif C&C sunucuları ile örnekler.
Riski azaltmak için kullanıcılar resmi uygulama mağazalarına bağlı kalmalı, bilinmeyen kaynaklardan kurulumu etkinleştirmekten kaçınmalı ve cihazları destekliyorsa Google Play Protect’i açık tutmalıdır. ESET, bulgularını Google ile paylaştı ve Play Protect Now, Google Play Services ile Android cihazlarda varsayılan olarak bu casus yazılım ailelerinin bilinen varyantlarını engelliyor.