Daha önce bilinmeyen bir Android kötü amaçlı yazılımı, daha önce tehdit aktörlerine atfedilen uygulama kullanılan altyapıyı keşfettikten sonra Turla bilgisayar korsanlığı grubuna bağlandı.
Turla, Rus devlet destekli bir hack grubudur. özel kötü amaçlı yazılım hedefe Avrupalı ve öncelikle casusluk için Amerikan sistemleri.
Tehdit aktörleri son zamanlarda Güneş patlaması arka kapı içinde kullanılan SolarWinds tedarik zinciri saldırısı Aralık 2020’de.
Android casus yazılım kulesi?
Lab52’den araştırmacılar kötü amaçlı bir APK tespit etti [VirusTotal] Android casus yazılımı gibi davranan, tehdit aktörlerine bilgi yükleyen “Süreç Yöneticisi” olarak adlandırılır.
Casus yazılımın nasıl dağıtıldığı açık olmasa da, bir kez yüklendikten sonra Process Manager, bir sistem bileşeni gibi davranarak dişli şeklindeki bir simgeyi kullanarak bir Android cihazında saklanmaya çalışır.
Uygulama ilk başlatıldığında, kullanıcıdan aşağıdaki 18 izni kullanmasına izin vermesini ister:
- Kaba konuma erişin
- Hassas konuma erişin
- Ağ durumuna erişim
- WiFi durumuna erişin
- Kamera
- Ön plan hizmeti
- internet
- Ses ayarlarını değiştir
- Çağrı kaydını oku
- Kişileri oku
- Harici depolamayı oku
- Harici depolama yaz
- Telefon durumunu oku
- SMS oku
- Önyükleme tamamlandı
- Ses kaydı
- SMS gönder
- Uyandırma günlüğü
Bu izinler, uygulamanın bir cihazın konumunu almasına, metin gönderip okumasına, depolamaya erişmesine, kamerayla fotoğraf çekmesine ve ses kaydetmesine izin verdiği için gizlilik açısından ciddi bir risk oluşturur.
Kötü amaçlı yazılımın kendisine izin vermek için Android Erişilebilirlik hizmetini kötüye kullanıp kullanmadığı veya kullanıcıyı bir isteği onaylaması için kandırıp kandırmadığı belirsizdir.
İzinleri aldıktan sonra, casus yazılım simgesini kaldırır ve yalnızca varlığını gösteren kalıcı bir bildirimle arka planda çalışır.
Bu özellik, özellikle bu karmaşık bir APT (gelişmiş kalıcı tehdit) grubunun işiyse, genellikle kurbandan gizli kalmaya çalışması gereken casus yazılımlar için oldukça gariptir.
Listeler, günlükler, SMS, kayıtlar ve olay bildirimleri dahil olmak üzere cihaz tarafından toplanan bilgiler, 82.146.35’teki komuta ve kontrol sunucusuna JSON formatında gönderilir.[.]240.
APK’nın dağıtım yöntemi bilinmiyor, ancak Turla ise, genellikle sosyal mühendislik, phishing, watering hole saldırıları vb. kullanırlar, yani herhangi bir şey olabilir.
Kâr için garip suistimal vakası
Uygulamayı araştırırken, Lab52 ekibi de bulundu cihaza ek yükler indirdiğini ve doğrudan Play Store’dan getirilen bir uygulama vakası bulduğunu söyledi.
Uygulamanın adı “Roz Dhan: Cüzdandan nakit para kazanın” ve para kazandıran bir yönlendirme sistemine sahip popüler (10.000.000 indirme) bir uygulama.
Casus yazılımın, uygulamanın yönlendirme sistemi aracılığıyla APK’yı indirdiği ve muhtemelen bir komisyon kazanacağı bildiriliyor; bu, belirli bir aktörün siber casusluğa odaklandığı göz önüne alındığında biraz garip.
Bu, Android casus yazılımının görünüşte karmaşık olmayan uygulamasına ek olarak, Lab52 tarafından analiz edilen C2’nin paylaşılan bir altyapının parçası olabileceğine inanmamıza neden oluyor.
Devlet aktörleri, nadiren de olsa bu taktiği izlemeleriyle tanınırlar, çünkü bu onların izlerini gizlemelerine ve analistlerin kafasını karıştırmalarına yardımcı olur.
Kötü amaçlı yazılımları uzak tutun
Android cihaz kullanıcılarının, Android 10 ve sonraki sürümlerde oldukça kolay olması gereken uygulama izinlerini gözden geçirmeleri ve aşırı riskli görünenleri iptal etmeleri önerilir.
Ayrıca, Android 12’den başlayarak, işletim sistemi kamera veya mikrofon etkin olduğunda göstergeler gönderir, bu nedenle bunlar yetim görünüyorsa, casus yazılım cihazınızda saklanıyor demektir.
Bu araçlar, daha eski Android sürümlerini çalıştıran IoT’lerin içine yerleştirildiğinde özellikle tehlikelidir ve uzak operatörler için uzun süreler boyunca kimse uzlaşmayı fark etmeden para üretir.