Siber Muhbir

ESET'in keşfettiği hedef, bir mobil cihazda açıldığında, Urduca sürümünün ziyaretçilerinden doğrudan web sitesinde barındırılan Android uygulamasını yüklemelerini ister.

Ancak uygulama, kötü niyetli casusluk yeteneklerini içeriyor ve saldırı bugüne kadar en az 20 mobil cihazı tehlikeye attı. 7 Ocak ile 21 Mart 2023 arasında, bölgede arazi hakları, vergilendirme ve kapsamlı elektrik kesintileri nedeniyle büyük protestoların düzenlendiği bir zamandan beri web sitesinde mevcut.

Paket yüklendikten sonra etkinleştirilen kötü amaçlı yazılım, müdahaleci izinler isteyerek cihazlardan hassas bilgileri toplamasına olanak tanır.

Buna kişiler, arama kayıtları, takvim etkinlikleri, konum bilgileri, dosyalar, SMS mesajları, fotoğraflar, yüklü uygulamaların listesi ve cihaz meta verileri dahildir. Toplanan veriler daha sonra Firebase'de barındırılan bir komuta ve kontrol (C2) sunucusuna yüklenir.

Kamran, uzaktan kumanda yeteneklerinden yoksundur ve aynı zamanda tasarım gereği basittir, sızdırma faaliyetlerini yalnızca kurban uygulamayı açtığında gerçekleştirir ve halihazırda iletilmiş olan verileri takip etmek için hükümlerden yoksundur.

Bu, arama kriterlerini karşılayan yeni verilerle birlikte aynı bilgileri tekrar tekrar C2 sunucusuna gönderdiği anlamına gelir. Kamran henüz bilinen herhangi bir tehdit aktörü veya grubuna atfedilmedi.

Güvenlik araştırmacısı Lukáš Štefanko, "Bu kötü amaçlı uygulama hiçbir zaman Google Play mağazasında sunulmadığından ve Google tarafından bilinmeyen olarak adlandırılan tanımlanamayan bir kaynaktan indirildiğinden, bu uygulamayı yüklemek için kullanıcıdan bilinmeyen kaynaklardan uygulama yükleme seçeneğini etkinleştirmesi isteniyor" dedi.