Siber güvenlik şirketi ESET, Pakistan’daki bireyleri gaye alan romantik dolandırıcılık taktikleri kullanan bir Android casus yazılım kampanyası ortaya çıkardı.
Casus yazılım kampanyası, kullanıcıların WhatsApp üzerinden sohbet başlatmasına imkan tanıyan bir sohbet platformu üzere görünen makûs gayeli bir uygulama kullanıyor. Romantik maskesinin altında, ESET’in GhostChat adını verdiği makus gayeli uygulamanın asıl emeli, kurbanın bilgilerini ele geçirmek. Birebir tehdit aktörü, kurbanların bilgisayarlarının ele geçirilmesine yol açan ClickFix saldırısı ve kurbanların WhatsApp hesaplarına erişim sağlayan WhatsApp aygıt bağlama saldırısı da dâhil olmak üzere daha geniş bir casusluk operasyonu yürütüyor üzere görünüyor. Böylelikle gözetleme kapsamını genişletiyor. Bu temaslı taarruzlar, Pakistan hükümet kuruluşlarını taklit eden web sitelerini yem olarak kullandı. Kurbanlar, GhostChat’i bilinmeyen kaynaklardan edinmiş ve manuel heyetim gerçekleştirmiş; bu uygulama Google Play’de yer almıyor ve varsayılan olarak aktifleştirilen Google Play Protect, bu uygulamaya karşı muhafaza sağlıyor.
Kampanyayı keşfeden ESET araştırmacısı Lukáš Štefanko, “Bu kampanya, emsal planlarda daha evvel görmediğimiz bir aldatma usulü kullanıyor. GhostChat’teki uydurma bayan profilleri, potansiyel kurbanlara kilitli olarak sunuluyor ve bunlara erişmek için şifreler gerekiyor. Lakin şifreler uygulamada sabit olarak kodlandığından bu yalnızca potansiyel kurbanlara özel erişim izlenimi yaratmayı amaçlayan bir toplumsal mühendislik taktiği. Araştırmamız, Pakistan’daki kullanıcılara yönelik, son derece amaçlı ve çok istikametli bir casusluk kampanyasını ortaya çıkardı” açıklamasını yaptı.
Uygulama, yasal bir arkadaşlık uygulamasının simgesini kullanıyor lakin özgün uygulamanın fonksiyonelliğinden mahrum ve bunun yerine taşınabilir aygıtlarda casusluk yapmak için bir yem ve araç misyonu görüyor. Giriş yaptıktan sonra, kurbanlara 14 bayan profili sunuluyor; her profil, Pakistan (+92) ülke koduna sahip makul bir WhatsApp numarasına bağlı. Mahallî numaraların kullanılması, profillerin Pakistan’da yaşayan gerçek bireyler olduğu yanılsamasını pekiştirerek dolandırıcılığın inandırıcılığını artırıyor. Hakikat kodu girdikten sonra, uygulama kullanıcıyı WhatsApp’a yönlendirerek atanan numara ile bir sohbet başlatıyor – bu numara muhtemelen tehdit aktörü tarafından işletiliyor.
Kurban uygulamayı kullanırken ve hatta oturum açmadan evvel, GhostChat casus yazılımı art planda çalışmaya başlar, aygıttaki aktiflikleri sessizce izler ve hassas dataları bir C&C sunucusuna aktarır. Birinci bilgi transferinin ötesinde, GhostChat faal casusluk faaliyetlerinde bulunur: Yeni oluşturulan imajları izlemek için bir içerik gözlemcisi kurar ve imgeler ortaya çıktıkça bunları yükler. Ayrıyeten her beş dakikada bir yeni evrakları tarayan periyodik bir misyon planlayarak daima nezaret ve data toplama sağlar.
Kampanya, ClickFix tabanlı makus gayeli yazılım dağıtımı ve WhatsApp hesap ele geçirme tekniklerini içeren daha geniş bir altyapıyla da ilişkili. Bu operasyonlar, düzmece web sitelerini, ulusal yetkililerin kimliğine bürünmeyi ve aldatıcı, QR kodu tabanlı aygıt kontaklarını kullanarak hem masaüstü hem de taşınabilir platformları tehlikeye atar. ClickFix, kullanıcıları görünüşte legal talimatları izleyerek aygıtlarında makus gayeli kodu manuel olarak çalıştırmaya yönlendiren bir toplumsal mühendislik tekniği.
ClickFix saldırısı yoluyla masaüstü hedeflemenin yanı sıra WhatsApp kullanıcılarını hedefleyen taşınabilir odaklı bir operasyonda makus emelli bir tesir alanı kullanıldı. Kurbanlar, Android aygıtlarını yahut iPhone’larını WhatsApp Web yahut Desktop’a bağlamak için bir QR kodunu tarayarak Pakistan Savunma Bakanlığı’nın bir kanalı üzere görünen kelamda bir topluluğa katılmaya ikna edildi. GhostPairing olarak bilinen bu teknik, saldırganların kurbanların sohbet geçmişine ve bireylerine erişim sağlamasına, hesap sahipleriyle birebir seviyede görünürlük ve denetim elde etmesine ve böylelikle özel irtibatlarını tesirli bir formda tehlikeye atmasına imkan tanır.
Kaynak: (BYZHA) Beyaz Haber Ajansı