Geçersiz iletileşme uygulamalarıyla data sızdırıyorlar

Siber güvenlik alanında dünya lideri olan ESET,  Signal ve ToTok kullanıcılarını gaye alan iki Android casus yazılım kampanyası ortaya çıkardı. Birleşik Arap Emirlikleri (BAE) vatandaşlarını gaye aldığı düşünülen bu kampanyalar, aldatıcı web siteleri ve toplumsal mühendislik yoluyla makus emelli yazılım dağıtıyor. 

ESET’in araştırması, daha evvel belgelenmemiş iki casus yazılım ailesinin keşfedilmesine yol açtı: Android/Spy.ProSpy, Signal uygulaması ve tartışmalı ve kullanımdan kaldırılan ToTok uygulaması için yükseltme yahut eklenti üzere davranırken Android/Spy.ToSpy ise ToTok uygulamasını taklit ediyor. C&C sunucularının hâlâ faal olması, ToSpy kampanyalarının devam ettiğini gösteriyor.

Keşfi yapan ESET araştırmacısı Lukáš Štefanko husus ile ilgili yaptığı açıklamada şunları söyledi: “Casus yazılım içeren hiçbir uygulama resmî uygulama mağazalarında mevcut değildi. Her ikisinin de yasal hizmetler üzere görünen üçüncü taraf web sitelerinden manuel olarak yüklenmesi gerekiyor. Bilhassa, ToSpy makûs gayeli yazılım ailesini dağıtan web sitelerinden biri Samsung Galaxy Store’u taklit ederek kullanıcıları ToTok uygulamasının makûs gayeli bir sürümünü manuel olarak indirip yüklemeye yönlendirdi. Yükledikten sonra, her iki casus yazılım ailesi de kalıcılıklarını koruyor ve güvenliği ihlal edilmiş Android aygıtlardan hassas dataları ve evrakları daima olarak sızdırıyor. BAE’de teyit edilen tespitler ve kimlik avı ve düzmece uygulama mağazalarının kullanımı, stratejik dağıtım düzeneklerine sahip bölgesel odaklı operasyonları akla getiriyor.” 

ESET Research, ProSpy kampanyasını Haziran 2025’te keşfetti ve bu kampanya muhtemelen 2024’ten beri devam ediyor. ProSpy, irtibat platformları Signal ve ToTok’u taklit etmek için tasarlanmış üç aldatıcı web sitesi aracılığıyla dağıtılıyor. Bu siteler, Signal Encryption Plugin ve ToTok Pro kılığına girmiş, uygunlaştırma üzere görünen makûs gayeli APK’lar sunuyor. ae.net alt dizesiyle biten bir alan isminin kullanılması, kampanyanın Birleşik Arap Emirlikleri’nde ikamet eden bireyleri hedeflediğini düşündürüyor zira AE, BAE’nin iki harfli ülke kodu. 

Soruşturma sırasında ESET, birebir casus yazılım kod tabanını kullanan ve ToTok Pro ismi altında ToTok iletileşme uygulamasının geliştirilmiş bir sürümü üzere görünen beş adet daha makûs emelli APK keşfetti. Birleşik Arap Emirlikleri’nde geliştirilen tartışmalı fiyatsız iletileşme ve arama uygulaması ToTok, nezaret kaygıları nedeniyle Aralık 2019’da Google Play ve Apple’ın App Store’undan kaldırıldı. Kullanıcı tabanının çoğunlukla BAE’de olduğu göz önüne alındığında ToTok Pro’nun bu bölgedeki kullanıcıları gaye alıyor olması mümkün zira bu kullanıcılar kendi bölgelerindeki resmî olmayan kaynaklardan uygulamayı indirme eğiliminde olabilirler.

Çalıştırıldığında her iki makûs hedefli uygulama da aygıta kaydedilmiş şahıslara, SMS iletilerine ve evraklara erişim müsaadesi istiyor. Bu müsaadeler verilirse ProSpy art planda data sızdırmaya başlıyor. Signal Encryption Plugin, aygıt bilgilerini, kaydedilmiş SMS iletilerini ve kişi listesini çıkarır ve sohbet yedeklemeleri, ses, görüntü ve imgeler üzere başka belgeleri sızdırır.

Haziran 2025’te, ESET telemetri sistemleri, BAE’de bulunan bir aygıttan kaynaklanan ve faal olarak yayılan, daha evvel belgelenmemiş diğer bir Android casus yazılım ailesini tespit etti. ESET, bu berbat gayeli yazılımı Android/Spy.ToSpy olarak etiketledi. Daha sonra yapılan araştırma, ToTok uygulamasını taklit eden dört aldatıcı dağıtım web sitesini ortaya çıkardı. Uygulamanın bölgesel popülaritesi ve tehdit aktörleri tarafından kullanılan taklit taktikleri göz önüne alındığında bu casus yazılım kampanyasının birincil amaçlarının BAE yahut etrafındaki bölgelerdeki kullanıcılar olduğu kestirim edilebilir. Casus yazılım art planda şu dataları toplayabilir ve dışarı aktarabilir: Kullanıcı şahısları, sohbet yedeklemeleri, manzaralar, evraklar, ses ve görüntü üzere aygıt bilgi evrakları. ESET’in bulguları, ToSpy kampanyasının muhtemelen 2022 ortasında başladığını göstermektedir.

Lukáš Štefanko, “Kullanıcılar, resmî olmayan kaynaklardan uygulama indirirken ve bilinmeyen kaynaklardan yüklemeyi etkinleştirirken ayrıyeten resmî uygulama mağazaları dışındaki uygulamaları yahut eklentileri, bilhassa sağlam hizmetleri geliştirdiğini tez edenleri yüklerken dikkatli olmalıdır” tavsiyesinde bulundu.

Kaynak: (BYZHA) Beyaz Haber Ajansı