Siber güvenlik araştırmacıları, adlandırılan iki Android casus yazılım kampanyası keşfetti Esir Ve Tospy Birleşik Arap Emirlikleri’ndeki (BAE) kullanıcıları hedeflemek için sinyal ve totok gibi uygulamaları taklit eden bu.
Slovak siber güvenlik şirketi ESET, kötü amaçlı uygulamaların şüphesiz kullanıcıları indirmek için kandırmak için sahte web siteleri ve sosyal mühendislik aracılığıyla dağıtıldığını söyledi. Kurulduktan sonra, her iki casus yazılımı kötü amaçlı yazılım suşları, tehlikeye atılan Android cihazlara kalıcı erişim sağlar ve verileri püskürtür.
ESET araştırmacısı Lukáš Štefanko, “Ne casus yazılımları içeren uygulama resmi uygulama mağazalarında mevcut değildi; her ikisi de meşru hizmet olarak poz veren üçüncü taraf web sitelerinden her ikisi de gerekli manuel kurulum.” Dedi. Özellikle, Tospy kötü amaçlı yazılım ailesini dağıtan web sitelerinden biri, Samsung Galaxy mağazasını taklit ederek kullanıcıları Totok uygulamasının kötü niyetli bir sürümünü manuel olarak indirmeye ve yüklemeye çekti. “
Haziran 2025’te keşfedilen prospy kampanyanın, 2024’ten beri devam ettiğine inanılıyor ve sinyal olarak maskelenen aldatıcı web sitelerinden yararlanıyor ve ilgili uygulamalara yükseltildiğini iddia eden bubi tuzaklı APK dosyalarını barındırmak için totok.
Totok’un bir cazibe olarak kullanılması tesadüf değildir, çünkü uygulama Aralık 2019’da BAE hükümeti için bir casusluk aracı olarak hareket ettiği endişeleri nedeniyle, kullanıcıların konuşmalarını, konumlarını ve diğer verileri hasat ettiği için Google Play ve Apple App Store’dan kaldırıldı.
Daha sonra Totok geliştiricileri, kaldırmanın “bu pazarda baskın bir pozisyona sahip olanlar tarafından şirketimize karşı işlenen bir saldırı” olduğunu ve uygulamanın kullanıcılara casusluk olmadığını iddia etti.
Rogue Prospy uygulamaları, kişilere, SMS mesajlarına ve cihazda depolanan dosyalara erişmek için izin istemek için tasarlanmıştır. Aynı zamanda cihaz bilgilerini ekspiltrasyon yapabilir.
ESET, telemetrisinin ayrıca vahşi doğada aktif olarak dağıtılan başka bir Android casus yazılım ailesini işaretlediğini ve aynı bölgedeki kullanıcıları aynı zamanda prospy tespit edildiğini söyledi. Muhtemelen 30 Haziran 2022’de başlayan ve şu anda devam eden Tospy kampanyası, kötü amaçlı yazılımları teslim etmek için Totok uygulamasını taklit eden sahte sitelerden yararlandı.
Bölgesel olarak odaklanmış kampanyalar, hassas veri dosyaları, medya, kişiler ve sohbet yedeklemeleri çalmaya odaklanıyor, totok Pro uygulaması, kullanıcıyı Web tarayıcısındaki resmi indirme sayfasına yönlendiren ve gerçek uygulamayı indirmelerini söyleyen “devam” düğmesine sahip prospy kümede yayılan bir “Düğme” düğmesi ile odaklanıyor.
ESET, “Bu yönlendirme, meşruiyet yanılsamasını güçlendirmek için tasarlandı.” Dedi. “Kötü niyetli Totok Pro uygulamasının gelecekteki herhangi bir lansmanı, bunun yerine gerçek Totok uygulamasını açacak ve casus yazılımların varlığını etkili bir şekilde maskeleyecek. Ancak, kullanıcı hala cihaza yüklü (Totok ve Totok Pro) şüpheli olabilecek iki uygulama görecek.”
Sinyal şifreleme eklentisi, benzer bir şekilde, kullanıcıları sinyali ziyaret ederek meşru şifreli mesajlaşma uygulamasını indirmek için aldatmak için bir “etkinleştir” düğmesi içerir.[.]org sitesi. Ancak Totok Pro durumundan farklı olarak, kurban gerekli tüm izinleri verdikten sonra Rogue Sinyal Uygulama simgesi Google Play hizmetlerini taklit etmek için değiştirilir.
Yüklü uygulama ne olursa olsun, içine gömülü casus yazılım, kullanıcı tıklamaları devam etmeden veya etkinleştirmeden önce verileri gizli bir şekilde söndürür. Bu, cihaz bilgileri, SMS mesajları, iletişim listeleri, dosyalar ve yüklü uygulamaların bir listesini içerir.
Štefanko, “Prospy’ye benzer şekilde, Tospy, kurbanı yeni yükledikleri kötü amaçlı yazılımların meşru bir uygulama olduğuna inanmak için daha da aldatmak için tasarlanmış adımlar da içeriyor.” Dedi. “Kullanıcı kötü niyetli Totok uygulamasını başlattıktan sonra, iki olası senaryo vardır: Ya resmi Totok uygulaması cihaza yüklenir ya da değil.”
“Resmi Totok uygulaması cihaza yüklenmiyorsa, Tospy kullanıcıyı zaten yüklü bir Huawei uygulaması aracılığıyla veya varsayılan tarayıcı aracılığıyla Huawei AppGallery’e yönlendirmeye çalışır ve kullanıcının resmi totok uygulamasını indirmesini önerir.”
Uygulamanın cihaza zaten yüklenmesi durumunda, resmi Totok uygulamasını sorunsuz bir şekilde başlatmadan önce uygulama güncellemelerini kontrol ettiği izlenimini vermek için sahte bir ekran görüntüler. Ancak, arka planda, kullanıcı kişilerini, belirli uzantıları eşleştiren dosyaları, cihaz bilgilerini ve totok veri yedeklemelerini (*.ttkmbackup) toplar.
Kalıcılık elde etmek için, her iki casus yazılım ailesi, kalıcı bir bildirim gösteren bir ön plan hizmeti yürütür, Android’in AlarmManager’ı sonlandırılırsa ön plan hizmetini tekrar tekrar yeniden başlatmak için kullanın ve bir cihaz yeniden başlatılması üzerine gerekli arka plan hizmetlerini otomatik olarak başlatın.
ESET, uygulanan kötü amaçlı yazılımlardaki birkaç ortaklığa rağmen, teslimat yöntemleri ve altyapısındaki farklılıklar nedeniyle kampanyaların farklı şekilde izlendiğini söyledi. Şu anda aktivitenin arkasında kimin olduğu bilinmemektedir.
Şirket, “Kullanıcılar, gayri resmi kaynaklardan uygulamalar indirirken uyanık kalmalı ve bilinmeyen kökenlerden kurulumları ve resmi uygulama mağazalarının dışında, özellikle de güvenilir hizmetleri geliştirmeyi iddia edenler yüklerken yüklemeyi önlemekten kaçınmalıdır.”