Önü aşk gerisi casusluk

BEĞENDİM

ABONE OL

News

Siber güvenlik şirketi ESET, Pakistan’daki bireyleri amaç alan romantik dolandırıcılık taktikleri kullanan bir Android casus yazılım kampanyası ortaya çıkardı.

Casus yazılım kampanyası, kullanıcıların WhatsApp üzerinden sohbet başlatmasına imkan tanıyan bir sohbet platformu üzere görünen makûs hedefli bir uygulama kullanıyor. Romantik maskesinin altında, ESET’in GhostChat adını verdiği berbat hedefli uygulamanın asıl maksadı, kurbanın bilgilerini ele geçirmek. Tıpkı tehdit aktörü, kurbanların bilgisayarlarının ele geçirilmesine yol açan ClickFix saldırısı ve kurbanların WhatsApp hesaplarına erişim sağlayan WhatsApp aygıt bağlama saldırısı da dâhil olmak üzere daha geniş bir casusluk operasyonu yürütüyor üzere görünüyor. Böylelikle gözetleme kapsamını genişletiyor. Bu temaslı ataklar, Pakistan hükümet kuruluşlarını taklit eden web sitelerini yem olarak kullandı. Kurbanlar, GhostChat’i bilinmeyen kaynaklardan edinmiş ve manuel heyetim gerçekleştirmiş; bu uygulama Google Play’de yer almıyor ve varsayılan olarak aktifleştirilen Google Play Protect, bu uygulamaya karşı müdafaa sağlıyor.

Kampanyayı keşfeden ESET araştırmacısı Lukáš Štefanko, “Bu kampanya, emsal planlarda daha evvel görmediğimiz bir aldatma sistemi kullanıyor. GhostChat’teki düzmece bayan profilleri, potansiyel kurbanlara kilitli olarak sunuluyor ve bunlara erişmek için şifreler gerekiyor. Lakin şifreler uygulamada sabit olarak kodlandığından bu yalnızca potansiyel kurbanlara özel erişim izlenimi yaratmayı amaçlayan bir toplumsal mühendislik taktiği. Araştırmamız, Pakistan’daki kullanıcılara yönelik, son derece maksatlı ve çok taraflı bir casusluk kampanyasını ortaya çıkardı” açıklamasını yaptı.

Uygulama, legal bir arkadaşlık uygulamasının simgesini kullanıyor lakin yepyeni uygulamanın fonksiyonelliğinden mahrum ve bunun yerine taşınabilir aygıtlarda casusluk yapmak için bir yem ve araç misyonu görüyor. Giriş yaptıktan sonra, kurbanlara 14 bayan profili sunuluyor; her profil, Pakistan (+92) ülke koduna sahip belli bir WhatsApp numarasına bağlı. Lokal numaraların kullanılması, profillerin Pakistan’da yaşayan gerçek şahıslar olduğu yanılsamasını pekiştirerek dolandırıcılığın inandırıcılığını artırıyor. Hakikat kodu girdikten sonra, uygulama kullanıcıyı WhatsApp’a yönlendirerek atanan numara ile bir sohbet başlatıyor – bu numara muhtemelen tehdit aktörü tarafından işletiliyor.

Kurban uygulamayı kullanırken ve hatta oturum açmadan evvel, GhostChat casus yazılımı art planda çalışmaya başlar, aygıttaki aktiflikleri sessizce izler ve hassas bilgileri bir C&C sunucusuna aktarır. Birinci bilgi transferinin ötesinde, GhostChat faal casusluk faaliyetlerinde bulunur: Yeni oluşturulan imgeleri izlemek için bir içerik gözlemcisi kurar ve imajlar ortaya çıktıkça bunları yükler. Ayrıyeten her beş dakikada bir yeni dokümanları tarayan periyodik bir vazife planlayarak daima nezaret ve bilgi toplama sağlar.

Kampanya, ClickFix tabanlı makus gayeli yazılım dağıtımı ve WhatsApp hesap ele geçirme tekniklerini içeren daha geniş bir altyapıyla da temaslı. Bu operasyonlar, uydurma web sitelerini, ulusal yetkililerin kimliğine bürünmeyi ve aldatıcı, QR kodu tabanlı aygıt temaslarını kullanarak hem masaüstü hem de taşınabilir platformları tehlikeye atar. ClickFix, kullanıcıları görünüşte yasal talimatları izleyerek aygıtlarında makus emelli kodu manuel olarak çalıştırmaya yönlendiren bir toplumsal mühendislik tekniği.

ClickFix saldırısı yoluyla masaüstü hedeflemenin yanı sıra WhatsApp kullanıcılarını hedefleyen taşınabilir odaklı bir operasyonda berbat gayeli bir tesir alanı kullanıldı. Kurbanlar, Android aygıtlarını yahut iPhone’larını WhatsApp Web yahut Desktop’a bağlamak için bir QR kodunu tarayarak Pakistan Savunma Bakanlığı’nın bir kanalı üzere görünen kelamda bir topluluğa katılmaya ikna edildi. GhostPairing olarak bilinen bu teknik, saldırganların kurbanların sohbet geçmişine ve bireylerine erişim sağlamasına, hesap sahipleriyle birebir seviyede görünürlük ve denetim elde etmesine ve böylelikle özel bağlantılarını tesirli bir halde tehlikeye atmasına imkan tanır.

Kaynak: (BYZHA) Beyaz Haber Ajansı