Araştırmacılar, Bitter APT grubu tarafından Yeni Zelanda, Hindistan, Pakistan ve Birleşik Krallık’tan kullanıcıları hedef alan siber casusluk operasyonlarında kullanılan yeni keşfedilen Android casus yazılımı ‘Dracarys’ hakkında daha fazla ayrıntı keşfetti.
Meta (Facebook), yeni Android kötü amaçlı yazılımını ilk olarak, veri çalma, coğrafi konum belirleme ve mikrofon etkinleştirme özelliklerinden kısaca bahsettikleri Q2 2022 düşman tehdidi raporunda bildirdi.
Günümüzde siber istihbarat firması Cyble Dracarys hakkında, yalnızca Bleeping Computer ile paylaşılan ve casus yazılımın iç işleyişine daha derine inen bir teknik rapor yayınladı.
Kötü amaçlı yazılım dağıtmak için Signal’i kullanma
Meta, Telegram, WhatsApp ve YouTube’un bağcıklı sürümlerinden bahsederken, Cyble’ın araştırması Signal mesajlaşma uygulamasının yalnızca truva atlı bir sürümünü ortaya çıkardı.
Bilgisayar korsanlığı grubu, uygulamayı “signalpremium” alan adını kullanarak gerçek bir Signal indirme portalı olarak görünen bir kimlik avı sayfası aracılığıyla kurbanlara teslim etti.[.]com”, aşağıda gösterildiği gibi.
Signal’in kaynak kodu açık kaynak olduğundan, Bitter APT korsan grubu, olağan özelliklerin tümüne ve beklenen işlevselliğe sahip bir sürüm derleyebildi. Ancak tehdit aktörleri, mesajlaşma uygulamasını derlerken kaynak koduna Dracarys kötü amaçlı yazılımını da ekledi.
Kötü amaçlı yazılımın yüklenmesi sırasında istenen izinler arasında telefonun kişi listesine erişim, SMS, kamera ve mikrofona erişim, okuma ve yazma depolama, arama yapma ve cihazın kesin konumuna erişim yer alır.
Riskli olsa bile, bu izinler sohbet uygulamaları için biraz tipiktir, bu nedenle isteğin şüphe uyandırması pek olası değildir.
Dracarys ayrıca Erişilebilirlik Hizmetini kötüye kullanarak ek izinleri otomatik olarak verir ve kullanıcı Signal uygulamasını kapatsa, ayrıcalıklarını yükseltse ve kullanıcı etkileşimi olmadan ekranda “tıklasa” bile arka planda çalışmaya devam eder.
Dracarys verilerinizi çalar
Başlatıldığında, Dracarys, cihazdan hangi verilerin toplanması gerektiğine ilişkin komutları almak için bir Firebase sunucusuna bağlanacaktır.
Dracarys’in toplayabileceği ve C2 sunucusuna iletebileceği veriler şunları içerir:
- Kişi listesi
- SMS verileri
- Arama kayıtları
- Yüklü uygulamalar listesi
- Dosyalar
- GPS konumu
Son olarak, casus yazılım cihazdan ekran görüntüleri yakalayabilir, ses kaydedebilir ve medyayı Cyble tarafından analiz edilen örnekte “hxxps://signal-premium-app” olan C2’ye yükleyebilir.[.]kuruluş”.
nasıl güvende kalınır
Güvenli/güvenli sohbet uygulamalarını indirme önerilerine karşı daima dikkatli olun ve bir tane indirmek üzereyken üçüncü taraf bir site yerine resmi Google Play Store’u kullandığınızdan emin olun.
Cihazınıza yeni bir uygulama yüklerken, istenen izinlere dikkat edin ve arka planda çalışan herhangi bir işlemi ortaya çıkarmak için pil ve internet veri tüketimini düzenli olarak izleyin.
Meşru şirketleri ve insanları taklit etmek için sosyal mühendisliği kullanmak, Meta’nın sahte hesapları keşfetme ve engelleme çabalarına rağmen çok yaygın.