Arid Viper Flört Uygulaması Kılığına Girmiş Casus Yazılımla Arap Android Kullanıcılarını Hedefliyor

Cisco Talos Salı günü yayınladığı bir raporda, "Arid Viper'ın Android kötü amaçlı yazılımı, operatörlerin kurbanların cihazlarından gizlice hassas bilgiler toplamasına ve ek yürütülebilir dosyalar dağıtmasına olanak tanıyan bir dizi özelliğe sahip" dedi.

En az 2017'den beri aktif olan Arid Viper, Gazze Şeridi'ni yöneten İslamcı bir militan hareket olan Hamas ile uyumlu bir siber casusluktur. Siber güvenlik firması, kampanyayı devam eden İsrail-Hamas savaşına bağlayan hiçbir kanıt olmadığını söyledi.

Faaliyetin Nisan 2022'den önce başlamadığına inanılıyor.

İlginç bir şekilde, mobil kötü amaçlı yazılım, Skipped adlı kötü amaçlı olmayan bir çevrimiçi flört uygulamasıyla kaynak kodu benzerliklerini paylaşıyor ve bu da operatörlerin ya ikincisinin geliştiricisiyle bağlantılı olduğunu ya da aldatma girişiminde özelliklerini kopyalamayı başardığını gösteriyor.

Kötü amaçlı yazılım dağıtmak için görünüşte iyi huylu sohbet uygulamalarının kullanılması, potansiyel hedefleri kandırmak için sosyal medya platformlarında sahte profillerden yararlanmaya başvuran "geçmişte Arid Viper tarafından kullanılan 'bal tuzağı' taktikleriyle uyumludur".

Cisco Talos, Skipped'e benzer veya aynı olan ve Android ve iOS için resmi uygulama mağazalarından indirilebilen flört temalı uygulamalar oluşturan genişletilmiş bir şirket ağı belirlediğini söyledi.

  • VIVIO - Sohbet, Flört ve Arkadaşlık (Apple App Store'dan edinilebilir)
  • Meeted (önceden Joostly) - Flört, Sohbet ve Arkadaşlık (Apple App Store'da mevcut)
  • SKIPPED - Chat, Match & Dating (Google Play Store'da 50.000 indirme)
  • Joostly - Arkadaşlık Uygulaması! Single'lar (Google Play'de 10.000 indirme)

Şirket, simüle edilmiş flört uygulamaları dizisinin, "Arid Viper operatörlerinin gelecekteki kötü niyetli kampanyalarda bu ek uygulamalardan yararlanmaya çalışabileceği" olasılığını artırdığını belirtti.

Saldırı zincirleri, hedeflere, YouTube gibi video paylaşım hizmetlerinde barındırılan sözde flört uygulaması için bir eğitim videosuna bir bağlantı göndermeyi gerektirir. Videonun açıklamasında, tıklandığında APK kötü amaçlı yazılımını sunan saldırgan tarafından kontrol edilen bir etki alanına yönlendiren bir URL bulunur.

Kötü amaçlı yazılım, yüklendikten sonra, işletim sisteminden sistem veya güvenlik bildirimlerini kapatarak kurbanın makinesinde kendini gizler ve ayrıca Samsung mobil cihazlarda ve "güvenlik" kelimesini içeren APK paket adına sahip herhangi bir Android telefonda radarın altında uçmak için bildirimleri devre dışı bırakır.

Ayrıca ses ve video kaydetmek, kişileri okumak, arama kayıtlarına erişmek, SMS mesajlarını engellemek, Wi-Fi ayarlarını değiştirmek, arka plan uygulamalarını sonlandırmak, fotoğraf çekmek ve sistem uyarıları oluşturmak için müdahaleci izinler istemek üzere tasarlanmıştır.

İmplantın diğer dikkate değer özellikleri arasında sistem bilgilerini alma, mevcut C2 sunucusundan güncellenmiş bir komut ve kontrol (C2) etki alanı alma ve Facebook Messenger, Instagram ve WhatsApp gibi meşru uygulamalar olarak kamufle edilen ek kötü amaçlı yazılım indirme yeteneği yer alıyor.

Gelişme, Recorded Future'ın, Hamas'ın askeri kanadı İzzeddin el-Kassam Tugayları'na bağlı olduğunu iddia eden bir Telegram Kanalında yayılan Al Qassam adlı bir Android uygulamasıyla ilgili altyapı çakışmaları yoluyla Kurak Viper'ı Hamas'a bağlayabilecek işaretleri ortaya çıkarmasıyla geldi.

Şirket, "Sadece operasyonel güvenlikte olası bir kaymayı değil, aynı zamanda gruplar arasında paylaşılan altyapının sahipliğini de gösteriyorlar" dedi. "Bu gözlemi açıklamak için olası bir hipotez, TAG-63'ün altyapı kaynaklarını Hamas örgütünün geri kalanıyla paylaştığıdır."

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği