ESET araştırmacıları, popüler mesajlaşma uygulamaları sinyalini ve totok’u taklit ederek güvenli iletişim platformları arayan kullanıcıları hedefleyen iki sofistike Android casus yazılımı kampanyasını ortaya çıkardılar.
Bu kötü niyetli operasyonlar, daha önce belgelenmemiş kötü amaçlı yazılım ailelerini dağıtmak için aldatıcı web siteleri ve sosyal mühendislik taktiklerini kullanarak öncelikle Birleşik Arap Emirlikleri (BAE) sakinlerine odaklanıyor gibi görünmektedir.
Soruşturmada, dikkatle düzenlenmiş aldatma kampanyaları ile faaliyet gösteren iki farklı Android casus yazılım ailesi ortaya çıktı. Android/Spy.Pospy, hem sinyal hem de totok mesajlaşma uygulamaları için yükseltmeler veya eklentiler olarak maskelenirken, Android/Spy.Tospy sadece uygulamayı taklit ederek Totok kullanıcılarını hedefler.
Hiçbir kötü amaçlı uygulama, resmi uygulama mağazaları aracılığıyla mevcut değildi, bu da mağdurların yazılımı meşru görünmek için tasarlanmış üçüncü taraf web sitelerinden manuel olarak yüklemelerini gerektirmedi.
Eklenti, iki özel web sitesi (https: //signal.ct[.]WS ve https: //encryption-plug-in-signal.com-ee[.]Net/) ve yalnızca kullanıcıların bilinmeyen kaynaklardan manuel kurulumu etkinleştirmesini gerektiren bir Android uygulaması şeklinde mevcuttu.
Özellikle sofistike bir dağıtım yöntemi, Samsung Galaxy Store’u taklit eden sahte bir web sitesi içeriyordu ve bu da kullanıcıları Totok uygulamasının kötü niyetli bir sürümünü indirmeye ve yüklemeye başarılı bir şekilde çekti.
Prospy kampanyası
Haziran 2025’te keşfedilen ancak 2024’ten beri aktif olduğuna inanılan prospy kampanyası, kötü amaçlı yazılımları sinyali ve totok platformlarını taklit eden üç aldatıcı web sitesi aracılığıyla dağıtıyor.
Kampanya, özellikle “Sinyal Şifreleme Eklentisi” ve “Totok Pro” olarak pazarlanan iyileştirmeler olarak gizlenmiş kötü amaçlı APK dosyaları sunuyor.
Sinyal şifreleme eklentisi varyantı, yapılarında “.ae.net” içeren alanlar kullanılarak özel kimlik avı web siteleri aracılığıyla dağıtıldı ve BAE sakinlerine kasıtlı bir odaklanma önerdi.
Kurulum üzerine, kötü amaçlı uygulama, arka plan verilerine başlamadan önce kişilere, SMS mesajlarına ve cihaz dosyalarına erişmek için kapsamlı izinler talep eder.
İlk kurulumdan sonra, sinyal şifreleme eklentisi, “Play Hizmetleri” gibi görünmek için cihazdaki görünümünü değiştirerek ve tıklandığında kullanıcıları meşru Google Play hizmetlerine yönlendiren sofistike bir kılık değiştirme tekniği kullanır.
Bu etkinlik-Alias manipülasyonu, hassas verilere kalıcı erişimi korurken casus yazılımın varlığını etkili bir şekilde maskeler.
Tospy Kampanyası
Tospy kampanyası, BAE’de bulunan cihazlardan kaynaklanan onaylanmış tespitlerle daha da hedeflenmiş bölgesel operasyonlar göstermektedir.
Araştırmacılar, tek bir tehdit oyuncusu tarafından koordinasyonu gösteren özdeş kötü amaçlı kod ve geliştirici sertifikalarını paylaşan altı örnek belirlediler.
Kanıtlar, Tospy kampanyasının 24 Mayıs 2022’de oluşturulan geliştirici sertifikası ve aynı zaman dilimi etrafında kayıtlı olan ilgili alanların geliştirici sertifikası ile başladığını gösteriyor. Birkaç komut ve kontrol sunucusu aktif kalır, bu da yayın sırasında devam eden işlemleri gösterir.
Kötü amaçlı yazılım, özellikle .ttkmbackup uzantısıyla totok yedekleme dosyalarını hedefler ve sohbet geçmişini ve uygulama verilerini çıkarmaya özel ilgi gösterir. Bu odak noktası Totok’un BAE ve çevresindeki bölgesel popülaritesi ile uyumludur.
Her iki casus yazılım ailesi, belgeler, resimler, videolar ve arşivler de dahil olmak üzere birden fazla kategoride cihaz bilgilerini, depolanan SMS mesajlarını, iletişim listelerini ve dosyaları sistematik olarak söndüren kapsamlı veri toplama özellikleri gösterir.
Kötü amaçlı yazılım, ön plan hizmetleri, alarm yöneticileri ve önyükleme kalıcılık mekanizmaları yoluyla kalıcı arka plan işlemlerini sürdürür.
Tospy, HTTPS post istekleri aracılığıyla komuta ve kontrol sunucularına iletilmeden önce pessfiltrated verileri güvence altına almak için CBC modunda sabit kodlanmış bir anahtarla AES şifrelemesini kullanır.
Aynı şifreleme anahtarı, merkezi geliştirme ve dağıtım öneren altı tanımlanan altı örneğin tümünde kullanılır.
Koruma ve önleme önlemleri
Google Play Protect, Android kullanıcılarını bu casus yazılımların bilinen sürümlerine karşı otomatik olarak savunur ve Google Play Hizmetleri ile cihazlar için varsayılan koruma sağlar.
ESET, bu ortaya çıkan tehditlere hızlı bir şekilde yanıt vererek App Defense Alliance ortaklığının bir parçası olarak bulgularını Google ile paylaştı.
Güvenlik uzmanları, gayri resmi kaynaklardan uygulama kurulumlarından kaçınmanın ve “bilinmeyen kaynaklar” kurulum seçeneğini devre dışı bırakmanın önemini vurgulamaktadır.
Kullanıcılar, özellikle resmi uygulama mağazalarının dışında yazılım yüklemesi istendiğinde, güvenilir iletişim hizmetlerini geliştirmeyi iddia eden uygulamaları veya eklentileri indirirken özellikle dikkatli olmalıdır.
Bu kampanyaların keşfi, mobil casus yazılım işlemlerinin gelişen sofistike olmasını ve iletişim uygulamalarını indirirken, özellikle belirli uygulamaların resmi kanallar aracılığıyla kısıtlanamayacağı veya kullanılamayacağı bölgelerde uyanıklığı sürdürmenin önemini vurgulamaktadır.
IOC
| SHA-1 | Dosya adı | Tespit | Tanım |
|---|---|---|---|
| 03FE2FCF66F86A75242F6112155134E66BC586CB | e18683bc061e888f158c9a3a7478615df2d7daaae1952a072d7f549cd1c1e326a.apk | Android/Spy.tospy.A | Android Tospy casus yazılım taklit edici totok uygulaması. |
| B22D58561BB64748F0D2E57B06282D6DAF33CC68 | totok_v1.8.8.411.apk | Android/Spy.tospy.A | Android Tospy casus yazılım taklit edici totok uygulaması. |
| BDC16A05BFF6B71E6EDB7963483C59FE041D59B | Totok_v2.8.3.10113.Apk | Android/Spy.tospy.A | Android Tospy casus yazılım taklit edici totok uygulaması. |
| DB9FE6C777C68215B0361139119DAFEE3B3194 | totok_version_1_9_5_433.apk | Android/Spy.tospy.A | Android Tospy casus yazılım taklit edici totok uygulaması. |
| DE148DFFF879AB2C12537ECCCCDD0541A38A8231 | v1_8_6_405_totok.apk | Android/Spy.tospy.A | Android Tospy casus yazılım taklit edici totok uygulaması. |
| CE378AE427E4BD70EAAED204C51811CD74F9A294 | v1_8_7_408_totok.apk | Android/Spy.tospy.A | Android Tospy casus yazılım taklit edici totok uygulaması. |
| 7eff53aebf4b31bfcc093f233294c3a6c0f6 | ae.totok.chat.apk | Android/Spy.prosp.a | Android Prospy casus yazılım taklit edici Totok Pro. |
| 154D67F871FFA19DCE1A7646D5AE4FF00C509EE4 | Signal-ENCRIPTING-Plugin.apk | Android/Spy.prosp.a | Android prospy casus yazılım taklit edici sinyal eklentisi. |
| 154D67F871FFA19DCE1A7646D5AE4FF00C509EE4 | Signal_encyption_plugin.apk | Android/Spy.prosp.a | Android prospy casus yazılım taklit edici sinyal eklentisi. |
| 43F4DC193503947CB9449FA8D3FEEB413A52D | Talk.apkk. | Android/Spy.prosp.a | Android Prospy casus yazılım taklit edici Totok Pro. |
| 579f9e5db2Beffcb61c833b355733c24524457ab | totok.apk | Android/Spy.prosp.a | Android Prospy casus yazılım taklit edici Totok Pro. |
| 80CA4C48FA831CD52041BB1E353149C052C17481 | totok_encrypted_enstr.apk | Android/Spy.prosp.a | Android Prospy casus yazılım taklit edici Totok Pro. |
| FFAAC2FDD9B6F5340D4202227B0B13E09F6ED031 | Signal-ENCRIPTING-Plugin.apk | Android/Spy.prosp.a | Android Prospy casus yazılım taklit edici Totok Pro. |
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.