Cyfirma’daki siber güvenlik araştırmacıları, Güney Asya’daki, özellikle de Hindistan’ın Keşmir bölgesindeki kullanıcıları hedef alan gelişmiş bir Android kötü amaçlı yazılım kampanyasının yakın zamanda ortaya çıktığını ortaya çıkardı.
“Tanzeem” adlı bir sohbet uygulaması olarak gizlenen kötü amaçlı yazılımın, Hindistan’ın ulusal çıkarlarına hizmet ettiğine inanılan ve ‘DONOT’ olarak bilinen kötü şöhretli APT grubuna atfediliyor.
CYFIRMA’nın araştırma ekibi tarafından keşfedilen kötü amaçlı uygulama, meşru bir sohbet platformu gibi görünüyor ancak yüklendikten sonra çalışmayı durduruyor.
Bunun yerine, hassas kullanıcı verilerine ve cihaz işlevlerine erişim için kapsamlı izinler talep ediyor. Ekim ve Aralık 2024’te neredeyse aynı iki örnek toplandı ve bu da devam eden bir kampanyaya işaret ediyor.
Urduca’da “örgüt” anlamına gelen “Tanzeem”, genellikle bölgedeki terörist gruplar ve kolluk kuvvetleriyle ilişkilendirilen bir terimdir.
Cyfirma’daki analistler, bu adlandırmanın, kötü amaçlı yazılımın hem Hindistan içindeki hem de dışındaki belirli bireyleri veya grupları hedef almak üzere tasarlandığını gösterdiğini belirtti.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Teknik Analiz
Kötü amaçlı yazılım, popüler bir müşteri etkileşim platformu olan OneSignal’den bu APT grubu için benzeri görülmemiş bir şekilde yararlanıyor.
Araştırmacılar, saldırganların OneSignal’i kötüye kullanarak anlık bildirimler yoluyla kimlik avı bağlantıları dağıttığına ve bunun da kötü amaçlı yazılımın virüslü cihazlardaki kalıcılığını artırdığına inanıyor.
Teknik analiz, kötü amaçlı yazılımın arama kayıtlarına, kişilere, SMS mesajlarına, dosya depolamaya ve kesin konum verilerine erişim dahil olmak üzere tehlikeli izinler istediğini ortaya koyuyor.
Ayrıca çeşitli internet platformlarına giriş yapmak için kullanılan e-postaları ve kullanıcı adlarını çıkarmak için de izin istiyor.
Kötü amaçlı yazılım, APK içindeki kötü amaçlı kodu gizlemek için gizleme de dahil olmak üzere karmaşık kaçırma teknikleri kullanıyor. Dosyaları ve dizinleri sıralayabilir, tuş vuruşlarını yakalayabilir, sistem bilgilerini toplayabilir ve hatta cihazın ekranını kaydedebilir.
CYFIRMA araştırmacıları, kötü amaçlı yazılım dosyası için SHA-256 hash 8689D59AAC223219E0FDB7886BE289A9536817EB6711089B5DD099A1E580F8E4 dahil olmak üzere çeşitli güvenlik ihlali göstergeleri belirledi. toolgpt gibi komut ve kontrol alanları[.]vızıltı ve güncelleme[.]bilgileri de ortaya çıktı.
DONOT APT grubunun Güney Asya’daki hükümet ve askeri kuruluşları hedef alma geçmişi var. Bu son kampanya, gelişen taktiklerini ve bölgeye ısrarla odaklandıklarını gösteriyor.
Siber güvenlik uzmanları, grubun gelecekteki saldırılarda kalıcılığı korumak için yöntemlerini geliştirmeye devam edeceği konusunda uyarıyor.
Kullanıcıların, özellikle kapsamlı izinler isteyen yeni uygulamaları yüklerken dikkatli olmaları önerilir.
Bunun yanı sıra, hedeflenen bölgelerdeki kuruluşların da bu gelişen tehdide karşı korunmak için dikkatli olmaları ve sağlam güvenlik önlemleri almaları tavsiye ediliyor.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri