ABD’li ağ tedarikçisi Cisco Systems’in BT güvenlik şubesi Cisco Talos, Gazze Şeridi’ndeki Arid Viper siber çetesinin Alman cep telefonu kullanıcılarına yönelik hedefli saldırıları konusunda uyarıyor. Grup tarafından “Skipped Messenger” olarak dağıtılan kötü amaçlı yazılım, Flensburg yakınlarındaki Handewitt merkezli aynı isimli şirketin arkasındaki “Skipped – Chat, Match & Dating” uygulamasına çok benziyor. Bu, indirme sırasında kolayca karışıklığa neden olabilir. Reklam ve uygulamanın kendisi Almanca yazıldığı için güvenlik uzmanları, uygulamaların öncelikle Alman pazarı için geliştirildiğini varsayıyor.
Reklamcılık
Kötü amaçlı yazılım, etkilenenlerin cep telefonlarına arka kapılar yüklüyor. Bu, saldırganların kullanıcıları bilgilendirmeden yetkisiz verileri almasına, konuşmaları dinlemesine, SMS mesajları alıp göndermesine, kameraya erişmesine, güvenlik uyarılarını devre dışı bırakmasına ve diğer kötü amaçlı yazılımlar gibi dosyaları yüklemesine olanak tanır. Potansiyel kurbanları sahte uygulamayı indirmeye motive etmek için Arid Viper üyeleri, kendilerini flört uygulamasının güncellemeleri olarak gizleyen kötü amaçlı bağlantılar paylaşıyor. Cisco Talos, kötü amaçlı yazılımın geliştirme düzeyinde flört uygulamasıyla aynı projeyi kullanmasının özellikle dikkat çekici olduğunu düşünüyor. Bu örtüşme, saldırganların Skipped’ın geliştiricisiyle iletişim halinde olduğunu ve kendisine kullanım haklarının verildiğini gösteriyor. Ancak uzlaşma pek mümkün görünmüyor.
Güvenlik uzmanları, “Skipped_Messenger”ın, bildirim göndermek için kötü amaçlı olmayan flört uygulaması olan Google’ın Firebase mesajlaşma sistemini bir komuta ve kontrol kanalı olarak kullandığını yazıyor. Firebase, diğer benzersiz tanımlayıcılarla birlikte adlandırılmış bir proje oluşturarak çalışır. Özel kimlik bilgileri ve API anahtarları ile korunmaktadır. Geliştiricilerin aynı projeyi ve Firebase veritabanlarını kullanan uygulamalar yazabilmeleri için bu verilere ve ilgili konsolda oluşturulan uygulama kimlikleri gibi diğer tanımlayıcılara ihtiyaçları vardı. Atlanan her iki sürüm için anahtarlar ve kimlikler farklı olduğundan, kötü amaçlı yazılım yaratıcılarının başlangıçta aynı Firebase projesine ve ilgili arka uç kayıt defterlerine erişimi olduğu ve ardından kendi oturum açma kimlik bilgilerini oluşturdukları anlaşılıyor.
Daha fazla simüle edilmiş flört uygulaması
Araştırmaları sırasında araştırmacılar, Skipped ile bağlantılı bir dizi başka simüle edilmiş flört uygulamasını ve bir şirket ağını da ortaya çıkardı. Kurak Engerek grubunun bu uygulamaları gelecekteki saldırı operasyonlarında da kullanmaya çalışabileceği sonucuna varıyorlar. Kullanıcıları kötü amaçlı yazılım indirmeleri için kandırmak amacıyla meşru program adlarının kötüye kullanılması yaklaşımı, genellikle çetenin geçmişte kullandığı bal küpü taktikleriyle tutarlıdır. Spesifik olarak, şu anda Joostly, Vivio ve Meeted flört uygulamalarıyla ilgili; bunların bir kısmı Google Play Store’da, bir kısmı da Apple’ın App Store’unda mevcut.
Analistler, yerel Skipped GmbH’nin görünüşte zararsız olan çok sayıda uygulamayla bağlantılı göründüğünü açıklıyor. İkincisi, Singapur ve Dubai’deki Adx Consulting, Quvy, Nyutainment ve Dream gibi şirketler tarafından yayınlanacak. Skipped GmbH, dağıtımı için kullanılacak alan adlarını kaydettirdi. Şüpheli uygulamaların çoğu, etkileşimi sürdürmek için “jeton” satın alma talepleriyle devam eden sohbetleri kesintiye uğratıyor. Böyle bir özellik Kurak Engerek için başka bir gelir kaynağı olarak yaratılmış olabilir. Cisco Talos henüz ağı dolandırıcılık makinesi olarak sınıflandırmak istemiyor. Bununla birlikte, Berlin bölge mahkemesinin, Nyutainment’in selefi Sllik’i icatched.de flört platformunda sahte profillerle insanları yanılttığı için 2022’de durmaya ve vazgeçmeye mahkum etmiş olması anlamlıdır.
(olb)
Haberin Sonu
Reklamcılık
Kötü amaçlı yazılım, etkilenenlerin cep telefonlarına arka kapılar yüklüyor. Bu, saldırganların kullanıcıları bilgilendirmeden yetkisiz verileri almasına, konuşmaları dinlemesine, SMS mesajları alıp göndermesine, kameraya erişmesine, güvenlik uyarılarını devre dışı bırakmasına ve diğer kötü amaçlı yazılımlar gibi dosyaları yüklemesine olanak tanır. Potansiyel kurbanları sahte uygulamayı indirmeye motive etmek için Arid Viper üyeleri, kendilerini flört uygulamasının güncellemeleri olarak gizleyen kötü amaçlı bağlantılar paylaşıyor. Cisco Talos, kötü amaçlı yazılımın geliştirme düzeyinde flört uygulamasıyla aynı projeyi kullanmasının özellikle dikkat çekici olduğunu düşünüyor. Bu örtüşme, saldırganların Skipped’ın geliştiricisiyle iletişim halinde olduğunu ve kendisine kullanım haklarının verildiğini gösteriyor. Ancak uzlaşma pek mümkün görünmüyor.
Güvenlik uzmanları, “Skipped_Messenger”ın, bildirim göndermek için kötü amaçlı olmayan flört uygulaması olan Google’ın Firebase mesajlaşma sistemini bir komuta ve kontrol kanalı olarak kullandığını yazıyor. Firebase, diğer benzersiz tanımlayıcılarla birlikte adlandırılmış bir proje oluşturarak çalışır. Özel kimlik bilgileri ve API anahtarları ile korunmaktadır. Geliştiricilerin aynı projeyi ve Firebase veritabanlarını kullanan uygulamalar yazabilmeleri için bu verilere ve ilgili konsolda oluşturulan uygulama kimlikleri gibi diğer tanımlayıcılara ihtiyaçları vardı. Atlanan her iki sürüm için anahtarlar ve kimlikler farklı olduğundan, kötü amaçlı yazılım yaratıcılarının başlangıçta aynı Firebase projesine ve ilgili arka uç kayıt defterlerine erişimi olduğu ve ardından kendi oturum açma kimlik bilgilerini oluşturdukları anlaşılıyor.
Daha fazla simüle edilmiş flört uygulaması
Araştırmaları sırasında araştırmacılar, Skipped ile bağlantılı bir dizi başka simüle edilmiş flört uygulamasını ve bir şirket ağını da ortaya çıkardı. Kurak Engerek grubunun bu uygulamaları gelecekteki saldırı operasyonlarında da kullanmaya çalışabileceği sonucuna varıyorlar. Kullanıcıları kötü amaçlı yazılım indirmeleri için kandırmak amacıyla meşru program adlarının kötüye kullanılması yaklaşımı, genellikle çetenin geçmişte kullandığı bal küpü taktikleriyle tutarlıdır. Spesifik olarak, şu anda Joostly, Vivio ve Meeted flört uygulamalarıyla ilgili; bunların bir kısmı Google Play Store’da, bir kısmı da Apple’ın App Store’unda mevcut.
Analistler, yerel Skipped GmbH’nin görünüşte zararsız olan çok sayıda uygulamayla bağlantılı göründüğünü açıklıyor. İkincisi, Singapur ve Dubai’deki Adx Consulting, Quvy, Nyutainment ve Dream gibi şirketler tarafından yayınlanacak. Skipped GmbH, dağıtımı için kullanılacak alan adlarını kaydettirdi. Şüpheli uygulamaların çoğu, etkileşimi sürdürmek için “jeton” satın alma talepleriyle devam eden sohbetleri kesintiye uğratıyor. Böyle bir özellik Kurak Engerek için başka bir gelir kaynağı olarak yaratılmış olabilir. Cisco Talos henüz ağı dolandırıcılık makinesi olarak sınıflandırmak istemiyor. Bununla birlikte, Berlin bölge mahkemesinin, Nyutainment’in selefi Sllik’i icatched.de flört platformunda sahte profillerle insanları yanılttığı için 2022’de durmaya ve vazgeçmeye mahkum etmiş olması anlamlıdır.
(olb)
Haberin Sonu