Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Yeni bulunan Android kötü amaçlı yazılımı sesi kaydeder, konumunuzu izler


Android kötü amaçlı yazılım

Daha önce bilinmeyen bir Android kötü amaçlı yazılımı, daha önce Turla olarak bilinen Rus APT grubu tarafından kullanılan aynı paylaşılan barındırma altyapısını kullanıyor, ancak hack grubuna atıf en iyi ihtimalle zayıf.

Turla, Rus devlet destekli bir hack grubudur. özel kötü amaçlı yazılım hedefe Avrupalı ve öncelikle casusluk için Amerikan sistemleri.

Tehdit aktörleri son zamanlarda Güneş patlaması arka kapı içinde kullanılan SolarWinds tedarik zinciri saldırısı Aralık 2020’de.

Yeni Android casus yazılımı keşfedildi

Lab52’den araştırmacılar kötü amaçlı bir APK tespit etti [VirusTotal] Android casus yazılımı gibi davranan, tehdit aktörlerine bilgi yükleyen “Süreç Yöneticisi” olarak adlandırılır.

Casus yazılımın nasıl dağıtıldığı açık olmasa da, bir kez yüklendikten sonra Process Manager, bir sistem bileşeni gibi davranarak dişli şeklindeki bir simgeyi kullanarak bir Android cihazında saklanmaya çalışır.

Uygulama ilk başlatıldığında, kullanıcıdan aşağıdaki 18 izni kullanmasına izin vermesini ister:

  • Kaba konuma erişin
  • Hassas konuma erişin
  • Ağ durumuna erişim
  • WiFi durumuna erişin
  • Kamera
  • Ön plan hizmeti
  • internet
  • Ses ayarlarını değiştir
  • Çağrı kaydını oku
  • Kişileri oku
  • Harici depolamayı oku
  • Harici depolama yaz
  • Telefon durumunu oku
  • SMS oku
  • Önyükleme tamamlandı
  • Ses kaydı
  • SMS gönder
  • Uyandırma günlüğü

Bu izinler, uygulamanın bir cihazın konumunu almasına, metin gönderip okumasına, depolamaya erişmesine, kamerayla fotoğraf çekmesine ve ses kaydetmesine olanak tanıdığından, gizlilik açısından ciddi bir risk oluşturur.

Kötü amaçlı yazılımın kendisine izin vermek için Android Erişilebilirlik hizmetini kötüye kullanıp kullanmadığı veya kullanıcıyı bir isteği onaylaması için kandırıp kandırmadığı belirsizdir.

İzinleri aldıktan sonra, casus yazılım simgesini kaldırır ve yalnızca varlığını gösteren kalıcı bir bildirimle arka planda çalışır.

Bir sistem hizmeti olarak ortaya çıkan kalıcı bildirim
Bir sistem hizmeti olarak ortaya çıkan kalıcı bildirim
(Lab52)

Bu özellik, özellikle bu karmaşık bir APT (gelişmiş kalıcı tehdit) grubunun işiyse, genellikle kurbandan gizli kalmaya çalışması gereken casus yazılımlar için oldukça gariptir.

Listeler, günlükler, SMS, kayıtlar ve olay bildirimleri dahil olmak üzere cihaz tarafından toplanan bilgiler, 82.146.35’teki komuta ve kontrol sunucusuna JSON formatında gönderilir.[.]240, Rusya’da bulunuyor.

Çalınan verileri C2'ye gönderme
Çalınan verileri göndermek için C2 bağlantısı kurulması (Lab52)

APK’nın dağıtım yöntemi bilinmiyor, ancak Turla ise, genellikle sosyal mühendislik, phishing, watering hole saldırıları vb. kullanırlar, yani herhangi bir şey olabilir.

Kâr için garip suistimal vakası

Uygulamayı araştırırken, Lab52 ekibi de bulundu cihaza ek yükler indirdiğini ve doğrudan Play Store’dan getirilen bir uygulama vakası bulduğunu söyledi.

Uygulamanın adı “Roz Dhan: Cüzdandan nakit para kazanın” ve para kazandıran bir yönlendirme sistemine sahip popüler (10.000.000 indirme) bir uygulama.

Play Store'da kötüye kullanılan uygulama
Play Store’da kötüye kullanılan uygulama

Casus yazılımın, uygulamanın yönlendirme sistemi aracılığıyla APK’yı indirdiği bildiriliyor, bu muhtemelen bir komisyon kazanacak, bu da belirli bir aktörün siber casusluğa odaklandığı göz önüne alındığında biraz garip.

Bu, Android casus yazılımının görünüşte karmaşık olmayan uygulamasına ek olarak, Lab52 tarafından analiz edilen C2’nin paylaşılan bir altyapının parçası olabileceğine inanmamıza neden oluyor.

Devlet aktörleri, nadiren de olsa bu taktiği izlemeleriyle tanınırlar, çünkü bu onların izlerini gizlemelerine ve analistlerin kafasını karıştırmalarına yardımcı olur.

Bununla birlikte, kötü amaçlı yazılımın tehdit yeteneklerinin düşük karmaşıklığı ve yönlendirmeye dayalı para kazanma kullanımı nedeniyle, araştırmacılar bunun Turla gibi bir ulus devlet aktörünün işi olduğuna inanmıyorlar.

Lab52 araştırmacıları, “Dolayısıyla, bu raporda, tehdit yetenekleri göz önüne alındığında Turla’ya atıfta bulunmak mümkün görünmese de, bu kötü amaçlı yazılım parçasının yetenekleri hakkındaki analizimizi paylaşmak istiyoruz” diye açıklıyor.

Kötü amaçlı yazılımları uzak tutun

Android cihaz kullanıcılarının, Android 10 ve sonraki sürümlerde oldukça kolay olması gereken uygulama izinlerini gözden geçirmeleri ve aşırı riskli görünenleri iptal etmeleri önerilir.

Ayrıca, Android 12’den başlayarak, işletim sistemi kamera veya mikrofon etkin olduğunda göstergeler gönderir, bu nedenle bunlar yetim görünüyorsa, casus yazılım cihazınızda saklanıyor demektir.

Bu araçlar, daha eski Android sürümlerini çalıştıran IoT’lerin içine yerleştirildiğinde özellikle tehlikelidir ve uzak operatörler için uzun süreler boyunca kimse uzlaşmayı fark etmeden para üretir.

Güncelleme 4/3/22: Makale ve başlık, Turla APT ile olan bağlantının zayıf kanıtlara dayandığını daha net gösterecek şekilde güncellendi.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.