Son aylarda, güvenlik ekipleri Android casus yazılım kampanyalarında, gizlilik bilincine sahip kullanıcıları güvenilir mesajlaşma uygulamaları olarak görerek avlayan bir artış gözlemledi.
Bu kötü niyetli yükler, kullanıcıların sinyal ve totok’a olan güvenini kullanır ve gelişmiş işlevsellik kisvesi altında kapsamlı izinler talep eden truva atlı uygulamalar sunar.
İlk dağıtım, kullanıcıları APK’ları tanıdık olmayan alanlardan sideload olmalarını isteyen kimlik avı web sitelerine ve sahte uygulama mağazalarına dayanır. İstenen izinleri verdikten sonra, casus yazılım sessizce kendisini sisteme yerleştirir ve hassas bilgileri toplarken düşük bir profil korur.
Kampanyalar iki farklı casus yazılım ailesi ortasında: Androidspy.prospysinyal ve totok eklentilerini taklit eden ve Androidspy.tospybağımsız bir totok uygulaması olarak poz veriyor.
Her ikisi de Android’in “Bilinmeyen Kaynaklar” ayarından yararlanarak resmi uygulama mağazalarının dışına manuel olarak yüklenir.
Welive-Security Araştırmacılar, Domains Signal.ct.ws ve Encryption-Plugin-signal.com-ae.net’in, Samsung Galaxy Store’u taklit eden siteler aracılığıyla mevcut olmayan bir “sinyal şifreleme eklentisi” kisvesi altında prospy dağıttığını belirledi.
.webp)
Bu kampanyalar bölgesel olarak Birleşik Arap Emirlikleri’ne odaklanmış ve yerel kullanıcı üslerini sinyal ve totok kullanıyor.
Kurulum üzerine casus yazılım, kişilere, SMS mesajlarına, dosya depolama ve cihaz bilgilerine erişim ister.
.webp)
İzinler verilirse, Prospy ve Tospy derhal donanım ve işletim sistemi ayrıntılarını toplayan pessfiltrasyon işlemlerine başlar, sohbet yedeklemeleri, medya dosyaları, belgeler ve yüklü uygulama listeleri.
.webp)
Totok’a özgü casus yazılım, sohbet geçmişini hasat etmek için “.ttkmbackup” dosyalarını bile hedefler. Her iki aile de anahtarla sabit kodlu AES-CBC kullanarak pul pullaştırılmış verileri şifreliyor P2J8W9SAVBNY75XGardından HTTPS Post aracılığıyla komut ve kontrol sunucularına iletin.
Bu şifreleme rutini, sabit kodlanmış anahtar ve şifreleme parametrelerini vurgulayarak aşağıdaki ayrıştırılmış snippet’te gösterildiği gibi uygulanır.
Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
SecretKeySpec keySpec = new SecretKeySpec("p2j8w9savbny75xg".getBytes(), "AES");
IvParameterSpec ivSpec = new IvParameterSpec(new byte[16]);
cipher.init(Cipher.ENCRYPT_MODE, keySpec, ivSpec);
byte[] encrypted = cipher.doFinal(plaintext.getBytes());.webp)
Enfeksiyon mekanizması
Enfeksiyon mekanizması sosyal mühendislik yemleri ile başlar-mesajlaşma uygulamaları veya sahte sosyal medya yayınları aracılığıyla bağlantılarla karşılaşan kullanıcılar.
Bir kurban kötü niyetli bir bağlantıyı tıkladığında, tanıdık uygulama depolarını taklit eden aldatıcı markalı bir sayfaya iner.
Prospy için iki alan, gelişmiş mesajlaşma güvenliği vaat eden ve kullanıcıların manuel APK kurulumunu etkinleştirmesini gerektiren bir “şifreleme eklentisi” sundu.
Benzer şekilde, Tospy Dağıtım, bir “Totok Pro” APK sunmak için Galaxy Store’dan sonra şekillendirilmiş kimlik avı sayfalarından yararlandı.
Kenar yüklendikten sonra, uygulama kalıcı işlem sağlamak için bir ön plan hizmeti kaydeder, ikna edici bir katılım ekranı görüntüler ve androidmanifest aktivite-Alias girişlerini simgesini ve adını “Play Hizmetleri” olarak değiştirmek için etkili bir şekilde saklanır.
Kalıcılık oluşturmak için, casus yazılım, öldürülürse hizmetini yeniden başlatmak için bir AlarmManager ayarlar ve aygıt yeniden başlattıktan sonra yeniden başlatılacak bir boot_completed frowscastreceiver’ı kaydeder.
Sosyal mühendislik, manuel kurulum, takma ve kalıcı arka plan işlemlerinin bu kombinasyonu, minimum kullanıcı farkındalığıyla sürekli veri çıkarma işlemini sağlar.
Bu kampanyalar aktif kaldıkça, Android kullanıcılarının güvenilmeyen kaynaklardan gelen uygulamaları önleme ve Play Protect’i etkinleştirmeleri istenir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
