Uzmanlar Uygurları Hedefleyen Uzun Süreli İki Android Casus Yazılım Kampanyasını Ortaya Çıkardı


Uygurları Hedefleyen Android Casus Yazılımları

Hassas bilgileri toplamak ve nerede olduklarını izlemek için tasarlanmış Android casus yazılım araçlarıyla Çin’deki ve başka yerlerdeki Uygur topluluğunu hedef alan uzun süredir devam eden iki gözetim kampanyası bulundu.

Bu, BadBazaar adlı daha önce belgelenmemiş bir kötü amaçlı yazılım türünü ve Eylül 2019’da Toronto Üniversitesi Vatandaş Laboratuvarı’ndan araştırmacılar tarafından MOONSHINE adlı bir casusluk eserinin güncellenmiş türevlerini kapsar.

Lookout, operasyonların ayrıntılı bir yazısında, “BadBazaar ve MOONSHINE gibi mobil gözetleme araçları, Sincan’daki yetkililer tarafından ‘suç öncesi’ faaliyetlerin, dini aşırıcılığın veya ayrılıkçılığın göstergesi olarak kabul edilen eylemlerin çoğunu izlemek için kullanılabilir.” Dedi.

Güvenlik firmasına göre BadBazaar kampanyasının 2018’in sonlarına kadar uzandığı ve iyi huylu video oynatıcılar, haberciler, dini uygulamalar ve hatta TikTok gibi görünen 111 benzersiz uygulama içerdiği söyleniyor.

Bu örnekler Uygurca sosyal medya platformları ve iletişim kanalları aracılığıyla dağıtılırken Lookout, Apple App Store’da Android muadili tarafından temel iPhone bilgilerini toplamak için kullanılan bir sunucuyla iletişim kuran “Uyghur Lughat” adlı bir sözlük uygulaması bulduğunu kaydetti.

iOS uygulaması App Store’da bulunmaya devam ediyor.

“BadBazaar türevleri genellikle gözetim yeteneklerini, güncellemeleri kendi sunucularından indirerek elde ettiğinden, [command-and-control server]tehdit aktörünün daha sonra iOS örneğini benzer gözetim işlevleriyle güncellemeyi umması mümkündür.”

Uygurları Hedefleyen Android Casus Yazılımları

BadBazaar kurulduktan sonra arama günlüklerini, GPS konumlarını, SMS mesajlarını ve ilgilenilen dosyaları toplamasına izin veren çeşitli özelliklerle birlikte gelir; telefon görüşmelerini kaydedin; fotoğraf çekmek; ve önemli cihaz meta verilerini sızdırın.

BadBazaar’ın altyapısının daha fazla analizi, Temmuz 2020’de ortaya çıkan ve DoubleAgent adlı bir Android araç setini kullanan etnik azınlığı hedefleyen başka bir casus yazılım operasyonuyla örtüşmeler olduğunu ortaya çıkardı.

MOONSHINE kullanan saldırılar, Temmuz 2022’den bu yana, ses kaydetmenin ve rastgele dosyaları indirmenin yanı sıra, virüslü cihazlardan kişisel verileri toplamak üzere tasarlanmış 50’den fazla kötü amaçlı uygulama kullandı.

Araştırmacılar, “Bu örneklerin çoğu, WhatsApp veya Telegram gibi popüler sosyal medya platformlarının trojanlı versiyonları veya Müslüman kültürel uygulamaların, Uygur dili araçlarının veya dua uygulamalarının trojanlı versiyonları” dedi.

Uygurları Hedefleyen Android Casus Yazılımları

MOONSHINE Android casus yazılım kitinden yararlanan önceki kötü niyetli siber faaliyetler, Uygurlara karşı saldırılarıyla tanınan Çin merkezli bir ulus devlet kolektifi olan POISON CARP (aka Nazar veya Dünya Empusa) olarak izlenen bir tehdit aktörüne atfedildi.

Bulgular, Check Point’in en az 2015’ten beri MobileOrder adlı bir truva atı kullanan Türk Müslüman topluluğuna yönelik uzun süredir devam eden bir gözetim yazılımı operasyonunun ayrıntılarını açıklamasından bir aydan biraz daha uzun bir süre sonra geldi.

Siber güvenlik

Lookout, “BadBazaar ve MOONSHINE’ın bu yeni çeşitleri, Çin’deki bireyleri gözetleme ve ardından gözaltına alma kampanyalarında kullanılan geniş kapsamlı benzersiz gözetim yazılımı koleksiyonuna katkıda bulunuyor” dedi.

“Hem BadBazaar hem de MOONSHINE’ın geniş dağıtımı ve yeni işlevlerin sunulma hızı, bu ailelerin gelişiminin devam ettiğini ve bu araçlara olan talebin devam ettiğini gösteriyor.”

Geliştirme ayrıca, geçen hafta Google Project Zero’nun, çekirdek sürümü 4.14.113 çalıştıran bir Exynos çipi ile Samsung telefonlarında üç sıfırıncı gün güvenlik açığını silahlandıran isimsiz bir ticari gözetim satıcısının kanıtlarını ortaya çıkaran bir raporun ardından geldi. Güvenlik açıkları Mart 2021’de Samsung tarafından kapatılmıştı.

Bununla birlikte, arama devi, istismarın, kötü niyetli Android uygulamalarının İtalya ve Kazakistan’daki kullanıcıları hedeflemek için kötüye kullanıldığı ve İtalyan şirketi RCS Lab ile bağlantılı Hermit olarak adlandırılan bir implantla kötüye kullanıldığı son uzlaşmalara benzer bir modeli yansıttığını söyledi.





Source link