Siber güvenlik araştırmacıları, tehdit aktörlerinin, bilinen bir Android kötü amaçlı yazılım sunmak için yeni kayıtlı alanlarda barındırılan aldatıcı web siteleri kurduklarını buldular. Spynote.
Bu sahte web siteleri, Google Play Store olarak Masquerade, Chrome Web tarayıcısı gibi uygulamalar için sayfalar yükleyin, bu da şüphesiz kullanıcıları kötü amaçlı yazılımları yüklemeye kandırmaya çalışır.
Domaintools Araştırmaları (DTI) ekibi, Hacker News ile paylaşılan bir raporda, “Tehdit oyuncusu İngilizce ve Çince dağıtım alanlarının bir karışımını kullandı ve dağıtım sitesi kodu ve kötü amaçlı yazılımların kendisine Çince yorumları içeriyordu.” Dedi.
Spynote (diğer adıyla spymax), erişilebilirlik hizmetlerini kötüye kullanarak tehlikeye atılan Android cihazlardan hassas verileri toplama yeteneği ile bilinen uzaktan erişim Truva atıdır. Mayıs 2024’te, kötü amaçlı yazılım, Avast olarak bilinen meşru bir antivirüs çözümünü taklit eden başka bir sahte sitesi ile yayıldı.
Mobil güvenlik firması Zimperium’un müteakip analizi, Spynote ve Gigabud arasındaki benzerlikleri ortaya çıkardı ve aynı tehdit aktörünün veya aktörlerin iki kötü amaçlı yazılım ailesinin arkasında olma olasılığını artırdı. Gigabud, GoldFactory kodlu Çince konuşan bir tehdit aktörüne atfedilir.
Yıllar geçtikçe, Spynote, Oilalpha ve diğer bilinmeyen aktörler gibi devlet destekli hack grupları tarafından bir miktar evlat edinme gördü.
DTI tarafından tanımlanan klon web siteleri, tıklandığında, kullanıcının cihazına kötü amaçlı bir APK dosyası indiren bir resim atlıkarıncası içerir. Paket dosyası, bir iletişim kutusundaki bir öğe tıklandığında spynote kötü amaçlı yazılımının yürütülmesine izin veren DialogInterface.onclickListener arabirimi aracılığıyla ikinci bir gömülü APK yükünü kurmak için bir damlalık görevi görür.
DTI, “Kurulum üzerine, uzatılmış cihaz üzerinde kapsamlı kontrol kazanarak agresif bir şekilde çok sayıda müdahaleci izin ister.” Dedi.
“Bu kontrol, SMS mesajları, kişiler, çağrı günlükleri, konum bilgileri ve dosyalar gibi hassas verilerin çalınmasına izin verir. Spynote ayrıca kamera ve mikrofon aktivasyonu, çağrı manipülasyonu ve keyfi komut yürütme gibi önemli uzaktan erişim özelliklerine sahiptir.”
Açıklama, Lookout’un 2024’te 4 milyondan fazla mobil odaklı sosyal mühendislik saldırısı gözlemlediğini ve zaman diliminde 427.000 kötü amaçlı uygulama ve 1.600.000 savunmasız uygulama tespiti tespit ettiğini ortaya koyuyor.
Lookout, “Son beş yıl boyunca, iOS kullanıcıları Android kullanıcılarından önemli ölçüde daha fazla kimlik avı saldırısına maruz kaldı.” Dedi. “2024, iOS cihazlarının Android cihazlardan iki kat daha fazla maruz kaldığı ilk yıldı.”
Intel ajansları Badbazaar ve Moonshine konusunda uyarıyor
Bulgular ayrıca Avustralya, Kanada, Almanya, Yeni Zelanda, İngiltere ve ABD’den Uygur, Tayvanlı ve Tibet topluluklarının Hedeflenmesi hakkında Badbazaar ve Moonshine gibi kötü amaçlı yazılım aileleri kullanan ortak bir danışma ve Amerika Birleşik Devletleri’nden ortak bir danışmanlık izlemektedir.
Kampanyanın hedefleri arasında sivil toplum kuruluşları (STK’lar), gazeteciler, işletmeler ve bu grupları savunan veya temsil eden sivil toplum üyeleri bulunmaktadır. Ajanslar, “Bu casus yazılımın çevrimiçi olarak yayılmasının gelişigüzel yolu, enfeksiyonların amaçlanan kurbanların ötesine yayılma riski olduğu anlamına geliyor.” Dedi.
Hem Badbazaar hem de Moonshine, yerler, mesajlar, fotoğraflar ve dosyalar da dahil olmak üzere Android ve iOS cihazlarından hassas veri toplayabilen Truva atları olarak sınıflandırılır. Genellikle mesajlaşma, yardımcı programlar veya dini uygulamalar olarak aktarılan uygulamalar aracılığıyla dağıtılırlar.
Badbazaar ilk olarak Kasım 2022’de Lookout tarafından belgelendi, ancak kötü amaçlı yazılımların 2018 gibi erken bir tarihte devam ettiği değerlendirildi. Öte yandan Moonshine, yakın zamanda Tibetans ve Uyghurs’a yönelik uzun vadeli gözetim operasyonlarını kolaylaştırmak için Dünya Minotaur olarak adlandırılan bir tehdit oyuncusu tarafından kullanıldı.
Badbazaar’ın kullanımı, Flea, Naylon Typhoon (eski nikel), oynak Boğa, Royal Apt ve Vixen Panda olarak da bilinen APT15 olarak izlenen bir Çin hack grubuna bağlanmıştır.
“Badbazaar’ın iOS varyantı, Android muadiline karşı nispeten sınırlı yeteneklere sahip olsa da, Ocak 2024’te yayınlanan bir raporda kişisel verileri kurbanın cihazından dışarı atma yeteneğine sahiptir.”
Siber güvenlik şirketine göre, Moonshine aracılığıyla kurbanların cihazlarından toplanan veriler, güvenliği ihlal edilmiş cihazların ayrıntılarını ve her birine erişim seviyesini gösteren Scotch Yönetici Paneli üzerinden erişilebilen bir saldırgan kontrollü altyapıya eklenmiştir. Ocak 2024 itibariyle 635 cihaz üç Scotch yönetici panelinde kaydedildi.
İlgili bir gelişmede, İsveçli yetkililer Stockholm’de bir Uygur sakini olan Dilshat Reshit’i ülkedeki topluluğun diğer üyelerine casusluk şüphesiyle tutukladı. Reshit, 2004 yılından bu yana Uyghur Kongresi’nin (WUC) Çince sözcüsü olarak hizmet vermiştir.