Önü aşk ardı casusluk

Siber güvenlik şirketi ESET,  Pakistan’daki bireyleri amaç alan romantik dolandırıcılık taktikleri kullanan bir Android casus yazılım kampanyası ortaya çıkardı. 

Casus yazılım kampanyası, kullanıcıların WhatsApp üzerinden sohbet başlatmasına imkan tanıyan bir sohbet platformu üzere görünen makus hedefli bir uygulama kullanıyor. Romantik maskesinin altında, ESET’in GhostChat adını verdiği berbat emelli uygulamanın asıl gayesi, kurbanın bilgilerini ele geçirmek. Tıpkı tehdit aktörü, kurbanların bilgisayarlarının ele geçirilmesine yol açan ClickFix saldırısı ve kurbanların WhatsApp hesaplarına erişim sağlayan WhatsApp aygıt bağlama saldırısı da dâhil olmak üzere daha geniş bir casusluk operasyonu yürütüyor üzere görünüyor. Böylelikle gözetleme kapsamını genişletiyor. Bu temaslı ataklar, Pakistan hükümet kuruluşlarını taklit eden web sitelerini yem olarak kullandı. Kurbanlar, GhostChat’i bilinmeyen kaynaklardan edinmiş ve manuel heyetim gerçekleştirmiş; bu uygulama Google Play’de yer almıyor ve varsayılan olarak aktifleştirilen Google Play Protect, bu uygulamaya karşı müdafaa sağlıyor.

Kampanyayı keşfeden ESET araştırmacısı Lukáš Štefanko, “Bu kampanya, misal planlarda daha evvel görmediğimiz bir aldatma yolu kullanıyor. GhostChat’teki uydurma bayan profilleri, potansiyel kurbanlara kilitli olarak sunuluyor ve bunlara erişmek için şifreler gerekiyor. Lakin şifreler uygulamada sabit olarak kodlandığından bu yalnızca potansiyel kurbanlara özel erişim izlenimi yaratmayı amaçlayan bir toplumsal mühendislik taktiği. Araştırmamız, Pakistan’daki kullanıcılara yönelik, son derece maksatlı ve çok taraflı bir casusluk kampanyasını ortaya çıkardı” açıklamasını yaptı. 

Uygulama, yasal bir arkadaşlık uygulamasının simgesini kullanıyor lakin orjinal uygulamanın fonksiyonelliğinden mahrum ve bunun yerine taşınabilir aygıtlarda casusluk yapmak için bir yem ve araç vazifesi görüyor. Giriş yaptıktan sonra, kurbanlara 14 bayan profili sunuluyor; her profil, Pakistan (+92) ülke koduna sahip belli bir WhatsApp numarasına bağlı. Lokal numaraların kullanılması, profillerin Pakistan’da yaşayan gerçek bireyler olduğu yanılsamasını pekiştirerek dolandırıcılığın inandırıcılığını artırıyor. Hakikat kodu girdikten sonra, uygulama kullanıcıyı WhatsApp’a yönlendirerek atanan numara ile bir sohbet başlatıyor – bu numara muhtemelen tehdit aktörü tarafından işletiliyor. 

Kurban uygulamayı kullanırken ve hatta oturum açmadan evvel, GhostChat casus yazılımı art planda çalışmaya başlar, aygıttaki aktiflikleri sessizce izler ve hassas bilgileri bir C&C sunucusuna aktarır. Birinci bilgi transferinin ötesinde, GhostChat etkin casusluk faaliyetlerinde bulunur: Yeni oluşturulan imajları izlemek için bir içerik gözlemcisi kurar ve imgeler gün yüzüne çıktıkça bunları yükler. Ayrıyeten her beş dakikada bir yeni evrakları tarayan periyodik bir vazife planlayarak daima nezaret ve bilgi toplama sağlar.

Kampanya, ClickFix tabanlı berbat emelli yazılım dağıtımı ve WhatsApp hesap ele geçirme tekniklerini içeren daha geniş bir altyapıyla da kontaklı. Bu operasyonlar, uydurma web sitelerini, ulusal yetkililerin kimliğine bürünmeyi ve aldatıcı, QR kodu tabanlı aygıt temaslarını kullanarak hem masaüstü hem de taşınabilir platformları tehlikeye atar. ClickFix, kullanıcıları görünüşte yasal talimatları izleyerek aygıtlarında makûs hedefli kodu manuel olarak çalıştırmaya yönlendiren bir toplumsal mühendislik tekniği.

ClickFix saldırısı yoluyla masaüstü hedeflemenin yanı sıra WhatsApp kullanıcılarını hedefleyen taşınabilir odaklı bir operasyonda makûs gayeli bir tesir alanı kullanıldı. Kurbanlar, Android aygıtlarını yahut iPhone’larını WhatsApp Web yahut Desktop’a bağlamak için bir QR kodunu tarayarak Pakistan Savunma Bakanlığı’nın bir kanalı üzere görünen kelamda bir topluluğa katılmaya ikna edildi. GhostPairing olarak bilinen bu teknik, saldırganların kurbanların sohbet geçmişine ve şahıslarına erişim sağlamasına, hesap sahipleriyle tıpkı seviyede görünürlük ve denetim elde etmesine ve böylelikle özel irtibatlarını tesirli bir formda tehlikeye atmasına imkan tanır.

Kaynak: (BYZHA) Beyaz Haber Ajansı