Siber güvenlik şirketi ESET, Pakistan’daki bireyleri gaye alan romantik dolandırıcılık taktikleri kullanan bir Android casus yazılım kampanyası ortaya çıkardı.
Casus yazılım kampanyası, kullanıcıların WhatsApp üzerinden sohbet başlatmasına imkan tanıyan bir sohbet platformu üzere görünen berbat gayeli bir uygulama kullanıyor. Romantik maskesinin altında, ESET’in GhostChat adını verdiği makus maksatlı uygulamanın asıl maksadı, kurbanın datalarını ele geçirmek. Tıpkı tehdit aktörü, kurbanların bilgisayarlarının ele geçirilmesine yol açan ClickFix saldırısı ve kurbanların WhatsApp hesaplarına erişim sağlayan WhatsApp aygıt bağlama saldırısı da dâhil olmak üzere daha geniş bir casusluk operasyonu yürütüyor üzere görünüyor. Böylelikle gözetleme kapsamını genişletiyor. Bu irtibatlı ataklar, Pakistan hükümet kuruluşlarını taklit eden web sitelerini yem olarak kullandı. Kurbanlar, GhostChat’i bilinmeyen kaynaklardan edinmiş ve manuel suram gerçekleştirmiş; bu uygulama Google Play’de yer almıyor ve varsayılan olarak aktifleştirilen Google Play Protect, bu uygulamaya karşı muhafaza sağlıyor.
Kampanyayı keşfeden ESET araştırmacısı Lukáš Štefanko, “Bu kampanya, benzeri planlarda daha evvel görmediğimiz bir aldatma yolu kullanıyor. GhostChat’teki uydurma bayan profilleri, potansiyel kurbanlara kilitli olarak sunuluyor ve bunlara erişmek için şifreler gerekiyor. Lakin şifreler uygulamada sabit olarak kodlandığından bu yalnızca potansiyel kurbanlara özel erişim izlenimi yaratmayı amaçlayan bir toplumsal mühendislik taktiği. Araştırmamız, Pakistan’daki kullanıcılara yönelik, son derece amaçlı ve çok istikametli bir casusluk kampanyasını ortaya çıkardı” açıklamasını yaptı.
Uygulama, yasal bir arkadaşlık uygulamasının simgesini kullanıyor lakin orjinal uygulamanın fonksiyonelliğinden mahrum ve bunun yerine taşınabilir aygıtlarda casusluk yapmak için bir yem ve araç vazifesi görüyor. Giriş yaptıktan sonra, kurbanlara 14 bayan profili sunuluyor; her profil, Pakistan (+92) ülke koduna sahip belli bir WhatsApp numarasına bağlı. Lokal numaraların kullanılması, profillerin Pakistan’da yaşayan gerçek bireyler olduğu yanılsamasını pekiştirerek dolandırıcılığın inandırıcılığını artırıyor. Gerçek kodu girdikten sonra, uygulama kullanıcıyı WhatsApp’a yönlendirerek atanan numara ile bir sohbet başlatıyor – bu numara muhtemelen tehdit aktörü tarafından işletiliyor.
Kurban uygulamayı kullanırken ve hatta oturum açmadan evvel, GhostChat casus yazılımı art planda çalışmaya başlar, aygıttaki aktiflikleri sessizce izler ve hassas dataları bir C&C sunucusuna aktarır. Birinci data transferinin ötesinde, GhostChat etkin casusluk faaliyetlerinde bulunur: Yeni oluşturulan manzaraları izlemek için bir içerik gözlemcisi kurar ve manzaralar ortaya çıktıkça bunları yükler. Ayrıyeten her beş dakikada bir yeni dokümanları tarayan periyodik bir vazife planlayarak daima nezaret ve data toplama sağlar.
Kampanya, ClickFix tabanlı makus hedefli yazılım dağıtımı ve WhatsApp hesap ele geçirme tekniklerini içeren daha geniş bir altyapıyla da ilişkili. Bu operasyonlar, geçersiz web sitelerini, ulusal yetkililerin kimliğine bürünmeyi ve aldatıcı, QR kodu tabanlı aygıt irtibatlarını kullanarak hem masaüstü hem de taşınabilir platformları tehlikeye atar. ClickFix, kullanıcıları görünüşte yasal talimatları izleyerek aygıtlarında makûs emelli kodu manuel olarak çalıştırmaya yönlendiren bir toplumsal mühendislik tekniği.
ClickFix saldırısı yoluyla masaüstü hedeflemenin yanı sıra WhatsApp kullanıcılarını hedefleyen taşınabilir odaklı bir operasyonda makus gayeli bir tesir alanı kullanıldı. Kurbanlar, Android aygıtlarını yahut iPhone’larını WhatsApp Web yahut Desktop’a bağlamak için bir QR kodunu tarayarak Pakistan Savunma Bakanlığı’nın bir kanalı üzere görünen kelamda bir topluluğa katılmaya ikna edildi. GhostPairing olarak bilinen bu teknik, saldırganların kurbanların sohbet geçmişine ve bireylerine erişim sağlamasına, hesap sahipleriyle tıpkı seviyede görünürlük ve denetim elde etmesine ve böylelikle özel bağlantılarını tesirli bir biçimde tehlikeye atmasına imkan tanır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
