Sahte Antivirüs Uygulaması, Rus Kullanıcıları Casusluk Etmek İçin Android Kötü Amaçlı Yazılımı Yayıyor
Doctor Web, Rus kullanıcıların verilerini çalarak, ses ve video akışı sağlayarak casusluk yapan sahte bir antivirüs uygulaması olan Android.Backdoor.916.origin konusunda uyarıyor.
Doctor Web'deki siber güvenlik araştırmacıları, Android.Backdoor.916.origin adlı yeni bir Android kötü amaçlı yazılım türü konusunda uyarıda bulunuyor. Ocak 2025'ten beri faaliyette olan bu kötü amaçlı yazılım, konuşmaları dinleyebiliyor, mesajları çalabiliyor, video akışı gerçekleştirebiliyor ve tuş vuruşlarını kaydedebiliyor.
Araştırmacıların Rus altyapısını hedef alan kötü amaçlı yazılımları tespit etmesi, son dört ayda ikinci kez gerçekleşti. Nisan 2022'de Doctor Web, Rus ordusunu gözetleyen sahte bir Alpine Quest haritalama uygulamasını ifşa etmişti.
Doctor Web ekibi, bunun sıradan Android sahiplerini hedef alan toplu bir bulaştırma girişimi değil, Rus iş temsilcilerini hedef almak için tasarlanmış bir araç olduğuna inanıyor. Saldırganların kötü amaçlı yazılımı, GuardCB adlı bir antivirüs yazılımı kisvesi altında mesajlaşma uygulamalarındaki doğrudan mesajlar aracılığıyla yayması, bu teoriyi destekliyor.
Sahte uygulama, kurbanlarını kandırmak için bir kılık değiştiriyor. Simgesi, bir kalkan üzerine yerleştirilmiş Rusya Merkez Bankası amblemini andırıyor ve bu da ona güvenilir bir görünüm kazandırıyor. Kurulduktan sonra, ikna edici görünmesi için rastgele oluşturulan sahte tespit sonuçlarıyla birlikte, bir antivirüs taramasına benzeyen bir işlem gerçekleştiriyor.
Dr. Web araştırmacıları blog yazılarında, " Bu durum, siber suçluların Rus kolluk kuvvetleriyle ilişkili olduğu iddia edilen güvenlikle ilgili programlar olarak göstermeye çalıştığı "SECURITY_FSB", "ФСБ" (FSB) ve diğerleri gibi isimlere sahip tespit edilen diğer değişikliklerle doğrulanıyor " ifadelerini kullandı.
Arka kapı kurulduktan sonra, coğrafi konum ve ses kaydından kamera erişimine ve SMS verilerine kadar bir dizi izin talep ediyor. Ayrıca, cihaz yöneticisi hakları ve Android Erişilebilirlik Hizmeti'ne erişim talep ediyor; bu da bir tuş kaydedici gibi davranarak aşağıdakiler de dahil olmak üzere popüler uygulamalardan içerikleri ele geçirmesine olanak tanıyor:
- Gmail
- Telgraf
- Yandex Tarayıcı
- Google Chrome
Doctor Web araştırmacıları, kötü amaçlı yazılımın kalıcılık için tasarlandığını açıklıyor. Kendi arka plan hizmetlerini başlatıyor, her dakika çalışıp çalışmadıklarını kontrol ediyor ve gerektiğinde yeniden başlatıyor. Ayrıca, saldırganlar altyapıyı aktif tutmak isterse 15'e kadar barındırma sağlayıcısı arasında geçiş yapabilen birden fazla komuta ve kontrol sunucusuyla iletişim kuruyor.
Doctor Web raporunda bulunan mevcut komutların listesi, casusluk yeteneklerinin kapsamını gösteriyor. Mikrofondan canlı ses akışı yapabilir, kameradan video yayınlayabilir, kullanıcılar yazarken metin çalabilir ve kişileri, SMS'leri, görüntüleri ve arama geçmişini yükleyebilir. Ayrıca, bir cihazın ekranını gerçek zamanlı olarak yayınlama yeteneğine de sahip.
Kötü amaçlı yazılım, kendini korumak için Android Erişilebilirlik Hizmeti'nden de yararlanıyor. Bu özellik, yalnızca tuş vuruşlarını çalmak için değil, aynı zamanda saldırganlar böyle bir komut verdiğinde kötü amaçlı yazılımı kaldırma girişimlerini engellemek için de kötüye kullanılıyor. Bu kendini koruma özelliği, kurbanlar cihazlarının tehlikeye girdiğini fark etseler bile, özel bir güvenlik yazılımı olmadan kaldırmanın zor olabileceği anlamına geliyor.
Doctor Web, kötü amaçlı yazılımın gelişmiş olmasına rağmen oldukça yerelleştirilmiş olduğunu belirtiyor. Arayüzü yalnızca Rusça olarak mevcut ve bu da belirli bir hedef grubu düşünülerek oluşturulduğu görüşünü destekliyor.
Rusya'da bir Android kullanıcısıysanız, yalnızca güvenilir kaynaklardan uygulama indirin ve Android'in açık kaynaklı yapısının bilgisayar korsanları için açık bir davet haline gelmesine izin vermeyin.
HackRead
