Arid Viper Flört Uygulaması Kılığına Girmiş Casus Yazılımla Arap Android Kullanıcılarını Hedefliyor
Arid Viper (diğer adıyla APT-C-23, Desert Falcon veya TAG-63) olarak bilinen tehdit aktörü, virüslü telefonlardan veri toplamak için tasarlanmış sahte bir flört uygulamasıyla Arapça konuşan kullanıcıları hedef alan bir Android casus yazılım kampanyasının arkasında yer alıyor.
Cisco Talos Salı günü yayınladığı bir raporda, "Arid Viper'ın Android kötü amaçlı yazılımı, operatörlerin kurbanların cihazlarından gizlice hassas bilgiler toplamasına ve ek yürütülebilir dosyalar dağıtmasına olanak tanıyan bir dizi özelliğe sahip" dedi.
En az 2017'den beri aktif olan Arid Viper, Gazze Şeridi'ni yöneten İslamcı bir militan hareket olan Hamas ile uyumlu bir siber casusluktur. Siber güvenlik firması, kampanyayı devam eden İsrail-Hamas savaşına bağlayan hiçbir kanıt olmadığını söyledi.
Faaliyetin Nisan 2022'den önce başlamadığına inanılıyor.
İlginç bir şekilde, mobil kötü amaçlı yazılım, Skipped adlı kötü amaçlı olmayan bir çevrimiçi flört uygulamasıyla kaynak kodu benzerliklerini paylaşıyor ve bu da operatörlerin ya ikincisinin geliştiricisiyle bağlantılı olduğunu ya da aldatma girişiminde özelliklerini kopyalamayı başardığını gösteriyor.
Kötü amaçlı yazılım dağıtmak için görünüşte iyi huylu sohbet uygulamalarının kullanılması, potansiyel hedefleri kandırmak için sosyal medya platformlarında sahte profillerden yararlanmaya başvuran "geçmişte Arid Viper tarafından kullanılan 'bal tuzağı' taktikleriyle uyumludur".
Cisco Talos, Skipped'e benzer veya aynı olan ve Android ve iOS için resmi uygulama mağazalarından indirilebilen flört temalı uygulamalar oluşturan genişletilmiş bir şirket ağı belirlediğini söyledi.
- VIVIO - Sohbet, Flört ve Arkadaşlık (Apple App Store'dan edinilebilir)
- Meeted (önceden Joostly) - Flört, Sohbet ve Arkadaşlık (Apple App Store'da mevcut)
- SKIPPED - Chat, Match & Dating (Google Play Store'da 50.000 indirme)
- Joostly - Arkadaşlık Uygulaması! Single'lar (Google Play'de 10.000 indirme)
Şirket, simüle edilmiş flört uygulamaları dizisinin, "Arid Viper operatörlerinin gelecekteki kötü niyetli kampanyalarda bu ek uygulamalardan yararlanmaya çalışabileceği" olasılığını artırdığını belirtti.
Saldırı zincirleri, hedeflere, YouTube gibi video paylaşım hizmetlerinde barındırılan sözde flört uygulaması için bir eğitim videosuna bir bağlantı göndermeyi gerektirir. Videonun açıklamasında, tıklandığında APK kötü amaçlı yazılımını sunan saldırgan tarafından kontrol edilen bir etki alanına yönlendiren bir URL bulunur.
Kötü amaçlı yazılım, yüklendikten sonra, işletim sisteminden sistem veya güvenlik bildirimlerini kapatarak kurbanın makinesinde kendini gizler ve ayrıca Samsung mobil cihazlarda ve "güvenlik" kelimesini içeren APK paket adına sahip herhangi bir Android telefonda radarın altında uçmak için bildirimleri devre dışı bırakır.
Ayrıca ses ve video kaydetmek, kişileri okumak, arama kayıtlarına erişmek, SMS mesajlarını engellemek, Wi-Fi ayarlarını değiştirmek, arka plan uygulamalarını sonlandırmak, fotoğraf çekmek ve sistem uyarıları oluşturmak için müdahaleci izinler istemek üzere tasarlanmıştır.
İmplantın diğer dikkate değer özellikleri arasında sistem bilgilerini alma, mevcut C2 sunucusundan güncellenmiş bir komut ve kontrol (C2) etki alanı alma ve Facebook Messenger, Instagram ve WhatsApp gibi meşru uygulamalar olarak kamufle edilen ek kötü amaçlı yazılım indirme yeteneği yer alıyor.
Gelişme, Recorded Future'ın, Hamas'ın askeri kanadı İzzeddin el-Kassam Tugayları'na bağlı olduğunu iddia eden bir Telegram Kanalında yayılan Al Qassam adlı bir Android uygulamasıyla ilgili altyapı çakışmaları yoluyla Kurak Viper'ı Hamas'a bağlayabilecek işaretleri ortaya çıkarmasıyla geldi.
Şirket, "Sadece operasyonel güvenlikte olası bir kaymayı değil, aynı zamanda gruplar arasında paylaşılan altyapının sahipliğini de gösteriyorlar" dedi. "Bu gözlemi açıklamak için olası bir hipotez, TAG-63'ün altyapı kaynaklarını Hamas örgütünün geri kalanıyla paylaştığıdır."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı