Siber güvenlik uzmanları, Android cihazları hedef alan iki yeni casus yazılımı belirledi. ProSpy ve ToSpy olarak adlandırılan bu zararlı yazılımlar, sahte Signal ve ToTok uygulamaları üzerinden yayılmakta. Kullanıcılar, masum gibi görünen eklenti ve güncelleme dosyaları ile bilgisayarlarına bulaşan bu yazılımların, özellikle Orta Doğu bölgesinde büyük bir etkinlik gösterdiği belirlendi.
ProSpy kampanyası, kullanıcıları kandırmak amacıyla Signal’e ait sahte bir eklenti kullanıldı. Kurulumun hemen ardından indirilen paket, cihazın mesaj kayıtları, kişi listesi ve dosyalarına erişim için gerekli izinleri talep etti. Yükleme tamamlanır tamamlanmaz, kötü amaçlı yazılım arka planda çalışmaya başlıyor ve kişisel verileri çalarak saldırganların kontrolündeki sunuculara gönderiyor.
Google Play Taklit Edildi
Saldırganlar, zararlı yazılımlarının gizliliğini korumak için çeşitli aldatıcı yöntemler geliştirdi. Uygulama, ana ekranda Google Play Hizmetleri simgesini taklit ederek güvenilir bir izlenim yaratmaya çalışıyordu. Bu simgeye tıklanıldığında ise gerçek Play Hizmetleri penceresi açılarak dikkat çekmesi önlendi. Bu yöntem, kötü yazılımın cihazlarda uzun bir süre tespit edilmeden çalışabilmesine olanak tanıdı.
ToSpy ise sahte ToTok sürümleri aracılığıyla bulaşmakta. Kullanıcılar uygulamayı yüklediklerinde depolama izni talep ediliyor ve hemen ardından belgeler, fotoğraflar, videolar ve sohbet yedekleri gibi kişisel veriler çalınıp saldırganların sunucularına aktarılıyor.
Uygulama başlatıldığında, arka planda gerçek ToTok uygulaması çalışmaktadır. Bu durum, kullanıcıların sahte yazılımı tespit etmesini zorlaştırıyor. Eğer cihazda ToTok yüklü değilse, kullanıcılar resmi mağazalara yönlendiriliyor ve uygulamanın indirilmesi sağlanıyor.
ESET Hileyi Tespit Etti
ESET’in yaptığı incelemeler, bu iki kampanyanın farklı zamanlarda faaliyete geçtiğini ortaya koydu. ToSpy, 2022’de oluşturulmuş bir alt yapı üzerine kurulmuşken, ProSpy’ın faaliyetleri 2024’te başlamış. Bu durum, saldırıların uzun vadeli bir planlama ile organize edildiğini gösteriyor.
Casus yazılımlar, cihazın yeniden başlatılmasından bağımsız olarak çalışmaya devam etmek için Android’in sistem hizmetlerini suistimal etmekte. AlarmManager kullanarak kapanan işlemleri yeniden aktif hale getiriyor, çalışan servisleri taklit edip sistemde öncelik kazanarak arka planda kesintisiz bir şekilde çalışmaya devam ediyor ve kişisel verileri çalmaya sürdürmektedir. Ayrıca, cihaz açıldığında otomatik olarak başlatılarak kalıcı bir varlık kazanıyor.
Alınacak Önlem ve Uyarılar
Uzmanlar, kullanıcıları sahte uygulamaların oluşturduğu tehlikeler konusunda dikkatli olmaya çağırıyor. Android kullanıcılarının yalnızca Google Play Store gibi resmi mağazalardan uygulama indirmeleri gerektiği vurgulanmakta. Ayrıca, geliştiricilerin resmi web siteleri üzerinden yapılan yüklemelerin de güvenli kabul edildiği belirtiliyor.
Kullanıcıların Play Protect özelliğini aktif tutmaları, bilinmeyen kaynaklardan APK yüklememesinin sağlanması ve cihazlarında şüpheli hareketler fark ettikleri zaman güvenlik yazılımlarını kullanmaları öneriliyor. Kurumsal cihazlarda ise güvenlik politikalarının titizlik
Leave a comment