Siber güvenlik alanında dünya lideri olan ESET, Signal ve ToTok kullanıcılarını amaç alan iki Android casus yazılım kampanyası ortaya çıkardı. Birleşik Arap Emirlikleri (BAE) vatandaşlarını gaye aldığı düşünülen bu kampanyalar, aldatıcı web siteleri ve toplumsal mühendislik yoluyla makus hedefli yazılım dağıtıyor.
ESET’in araştırması, daha evvel belgelenmemiş iki casus yazılım ailesinin keşfedilmesine yol açtı: Android/Spy.ProSpy, Signal uygulaması ve tartışmalı ve kullanımdan kaldırılan ToTok uygulaması için yükseltme yahut eklenti üzere davranırken Android/Spy.ToSpy ise ToTok uygulamasını taklit ediyor. C&C sunucularının hâlâ faal olması, ToSpy kampanyalarının devam ettiğini gösteriyor.
Keşfi yapan ESET araştırmacısı Lukáš Štefanko bahis ile ilgili yaptığı açıklamada şunları söyledi: “Casus yazılım içeren hiçbir uygulama resmî uygulama mağazalarında mevcut değildi. Her ikisinin de yasal hizmetler üzere görünen üçüncü taraf web sitelerinden manuel olarak yüklenmesi gerekiyor. Bilhassa, ToSpy makûs hedefli yazılım ailesini dağıtan web sitelerinden biri Samsung Galaxy Store’u taklit ederek kullanıcıları ToTok uygulamasının makus emelli bir sürümünü manuel olarak indirip yüklemeye yönlendirdi. Yükledikten sonra, her iki casus yazılım ailesi de kalıcılıklarını koruyor ve güvenliği ihlal edilmiş Android aygıtlardan hassas dataları ve belgeleri daima olarak sızdırıyor. BAE’de teyit edilen tespitler ve kimlik avı ve düzmece uygulama mağazalarının kullanımı, stratejik dağıtım düzeneklerine sahip bölgesel odaklı operasyonları akla getiriyor.”
ESET Research, ProSpy kampanyasını Haziran 2025’te keşfetti ve bu kampanya muhtemelen 2024’ten beri devam ediyor. ProSpy, bağlantı platformları Signal ve ToTok’u taklit etmek için tasarlanmış üç aldatıcı web sitesi aracılığıyla dağıtılıyor. Bu siteler, Signal Encryption Plugin ve ToTok Pro kılığına girmiş, düzgünleştirme üzere görünen makus gayeli APK’lar sunuyor. ae.net alt dizesiyle biten bir alan isminin kullanılması, kampanyanın Birleşik Arap Emirlikleri’nde ikamet eden bireyleri hedeflediğini düşündürüyor zira AE, BAE’nin iki harfli ülke kodu.
Soruşturma sırasında ESET, birebir casus yazılım kod tabanını kullanan ve ToTok Pro ismi altında ToTok iletileşme uygulamasının geliştirilmiş bir sürümü üzere görünen beş adet daha makûs emelli APK keşfetti. Birleşik Arap Emirlikleri’nde geliştirilen tartışmalı fiyatsız iletileşme ve arama uygulaması ToTok, nezaret tasaları nedeniyle Aralık 2019’da Google Play ve Apple’ın App Store’undan kaldırıldı. Kullanıcı tabanının çoğunlukla BAE’de olduğu göz önüne alındığında ToTok Pro’nun bu bölgedeki kullanıcıları maksat alıyor olması beklenen zira bu kullanıcılar kendi bölgelerindeki resmî olmayan kaynaklardan uygulamayı indirme eğiliminde olabilirler.
Çalıştırıldığında her iki makus maksatlı uygulama da aygıta kaydedilmiş bireylere, SMS iletilerine ve belgelere erişim müsaadesi istiyor. Bu müsaadeler verilirse ProSpy art planda bilgi sızdırmaya başlıyor. Signal Encryption Plugin, aygıt bilgilerini, kaydedilmiş SMS iletilerini ve kişi listesini çıkarır ve sohbet yedeklemeleri, ses, görüntü ve manzaralar üzere başka belgeleri sızdırır.
Haziran 2025’te, ESET telemetri sistemleri, BAE’de bulunan bir aygıttan kaynaklanan ve etkin olarak yayılan, daha evvel belgelenmemiş öbür bir Android casus yazılım ailesini tespit etti. ESET, bu berbat hedefli yazılımı Android/Spy.ToSpy olarak etiketledi. Daha sonra yapılan araştırma, ToTok uygulamasını taklit eden dört aldatıcı dağıtım web sitesini ortaya çıkardı. Uygulamanın bölgesel popülaritesi ve tehdit aktörleri tarafından kullanılan taklit taktikleri göz önüne alındığında bu casus yazılım kampanyasının birincil amaçlarının BAE yahut etrafındaki bölgelerdeki kullanıcılar olduğu iddia edilebilir. Casus yazılım art planda şu bilgileri toplayabilir ve dışarı aktarabilir: Kullanıcı bireyleri, sohbet yedeklemeleri, manzaralar, evraklar, ses ve görüntü üzere aygıt bilgi evrakları. ESET’in bulguları, ToSpy kampanyasının muhtemelen 2022 ortasında başladığını göstermektedir.
Lukáš Štefanko, “Kullanıcılar, resmî olmayan kaynaklardan uygulama indirirken ve bilinmeyen kaynaklardan yüklemeyi etkinleştirirken ayrıyeten resmî uygulama mağazaları dışındaki uygulamaları yahut eklentileri, bilhassa sağlam hizmetleri geliştirdiğini sav edenleri yüklerken dikkatli olmalıdır” tavsiyesinde bulundu.
Kaynak: (BYZHA) Beyaz Haber Ajansı
