Siber güvenlik araştırmacılarına göre, Pakistan bağlantılı bir bilgisayar korsanlığı grubu, Android casus yazılımının güncellenmiş bir sürümünü yayımlayarak mobil oyuncuları, silah tutkunlarını ve TikTok kullanıcılarını hedef alacak şekilde etki alanını genişletti.
Araştırmacılar, Pakistan devlet çıkarlarıyla bağlantıları olduğundan şüphelenilen bir grup olan Transparent Tribe ile ilişkili dört yeni kötü amaçlı Android uygulaması tespit etti. Uygulamalar, bilgisayar korsanlarının görünüşte zararsız video tarama uygulamalarına casus yazılım yerleştirme stratejisini sürdürüyor.
Transparent Tribe’ın Gelişen Taktikleri
APT 36 olarak da bilinen Transparent Tribe, en az 2016’dan beri Hindistan hükümetini ve askeri personelini hedef alıyor. Grubun, kimlik avı e-postaları ve tehlikeye atılmış web siteleri aracılığıyla Windows ve Android casus yazılımlarını iletmek için sosyal mühendisliğe yoğun bir şekilde güvendiği biliniyor.
SentinelLabs araştırmacıları, YouTube veya TikTok video oynatıcıları, müstehcen videolar için bir uygulama, bir mobil oyun portalı ve bir silah tutkunu uygulaması gibi görünen yeni keşfedilen uygulamaları tespit etti. Yüklendiklerinde, cihazın konumuna, kişilerine, SMS mesajlarına, arama kayıtlarına, kamerasına ve mikrofonuna erişmek için kapsamlı izinler talep ediyorlar.
İstenen izinler önceki kampanyadakilerle benzer olsa da, izinlerdeki azalma, uygulama geliştiricilerinin CapraRAT’ı tam özellikli bir arka kapıdan çok bir gözetleme aracı haline getirmeye odaklandıklarını gösteriyor.
Araştırmacılar, yeni CapraRAT APK dosyalarının 2017’de yayınlanan Android’in Oreo sürümüne (Android 8.0) referanslar içerdiğini belirtti. Önceki sürümler, 2015’te yayınlanan ve modern Android cihazlarla uyumlu olma olasılığı daha düşük olan Lollipop (Android 5.1) çalıştıran cihazlara dayanıyordu.
Yeni CapraRAT paketleri ayrıca Android Destek Kütüphanesi aracılığıyla Android’in eski sürümleriyle uyumluluğu sürdürmekten sorumlu WebView adlı minimal yeni bir sınıf içerir. Bu güncelleme, uygulamanın Android 13 ve 14 gibi modern Android sürümlerinde sorunsuz çalışmasını sağlar.
Yeni keşfedilen dört uygulama da etki alanı paylaşım kutularını kullanarak aynı komuta ve kontrol sunucusuyla iletişim kuruyor[.]net veya sabit kodlanmış bir IP adresi. Bu altyapı en az 2022’den beri Transparent Tribe operasyonlarına bağlı.
Araştırmacı Önerileri
Siber güvenlik uzmanları, kullanıcıların özellikle resmi olmayan kaynaklardan gelen uygulamaları yüklerken dikkatli olmalarını öneriyor. Kullanıcılar, talep edilen izinleri eleştirel bir şekilde değerlendirmeli ve belirtilen amaçlarıyla ilgisi olmayan erişim isteyen uygulamalara karşı dikkatli olmalıdır.
Hassas bilgilerle uğraşan kuruluşlar mobil cihaz yönetim çözümleri uygulamalı ve çalışanları yetkisiz uygulamaları yüklemenin riskleri konusunda eğitmelidir. Örneğin, yalnızca TikTok videoları görüntüleyen bir uygulamanın SMS mesajları gönderme, arama yapma veya ekranı kaydetme yeteneğine ihtiyacı yoktur.
Araştırmacılar, raporlarında yer alan 18582 numaralı portun kullanımının yanı sıra, kampanyada kullanılan dosyalara ait SHA1 toplam kontrol değerleri ve alan adı/IP ağı göstergeleri gibi diğer tehlike göstergelerinin de şüpheli olarak değerlendirilmesi gerektiğini profesyonellere tavsiye etti.