Siber güvenlik şirketi ESET, Pakistan’daki bireyleri amaç alan romantik dolandırıcılık taktikleri kullanan bir Android casus yazılım kampanyası ortaya çıkardı.
Casus yazılım kampanyası, kullanıcıların WhatsApp üzerinden sohbet başlatmasına imkan tanıyan bir sohbet platformu üzere görünen makûs emelli bir uygulama kullanıyor. Romantik maskesinin altında, ESET’in GhostChat adını verdiği makus maksatlı uygulamanın asıl hedefi, kurbanın bilgilerini ele geçirmek. Birebir tehdit aktörü, kurbanların bilgisayarlarının ele geçirilmesine yol açan ClickFix saldırısı ve kurbanların WhatsApp hesaplarına erişim sağlayan WhatsApp aygıt bağlama saldırısı da dâhil olmak üzere daha geniş bir casusluk operasyonu yürütüyor üzere görünüyor. Böylelikle gözetleme kapsamını genişletiyor. Bu ilişkili akınlar, Pakistan hükümet kuruluşlarını taklit eden web sitelerini yem olarak kullandı. Kurbanlar, GhostChat’i bilinmeyen kaynaklardan edinmiş ve manuel suram gerçekleştirmiş; bu uygulama Google Play’de yer almıyor ve varsayılan olarak aktifleştirilen Google Play Protect, bu uygulamaya karşı müdafaa sağlıyor.
Kampanyayı keşfeden ESET araştırmacısı Lukáš Štefanko, “Bu kampanya, misal planlarda daha evvel görmediğimiz bir aldatma yolu kullanıyor. GhostChat’teki uydurma bayan profilleri, potansiyel kurbanlara kilitli olarak sunuluyor ve bunlara erişmek için şifreler gerekiyor. Lakin şifreler uygulamada sabit olarak kodlandığından bu yalnızca potansiyel kurbanlara özel erişim izlenimi yaratmayı amaçlayan bir toplumsal mühendislik taktiği. Araştırmamız, Pakistan’daki kullanıcılara yönelik, son derece gayeli ve çok istikametli bir casusluk kampanyasını ortaya çıkardı” açıklamasını yaptı.
Uygulama, yasal bir arkadaşlık uygulamasının simgesini kullanıyor lakin özgün uygulamanın fonksiyonelliğinden mahrum ve bunun yerine taşınabilir aygıtlarda casusluk yapmak için bir yem ve araç vazifesi görüyor. Giriş yaptıktan sonra, kurbanlara 14 bayan profili sunuluyor; her profil, Pakistan (+92) ülke koduna sahip muhakkak bir WhatsApp numarasına bağlı. Lokal numaraların kullanılması, profillerin Pakistan’da yaşayan gerçek şahıslar olduğu yanılsamasını pekiştirerek dolandırıcılığın inandırıcılığını artırıyor. Hakikat kodu girdikten sonra, uygulama kullanıcıyı WhatsApp’a yönlendirerek atanan numara ile bir sohbet başlatıyor – bu numara muhtemelen tehdit aktörü tarafından işletiliyor.
Kurban uygulamayı kullanırken ve hatta oturum açmadan evvel, GhostChat casus yazılımı art planda çalışmaya başlar, aygıttaki aktiflikleri sessizce izler ve hassas bilgileri bir C&C sunucusuna aktarır. Birinci bilgi transferinin ötesinde, GhostChat etkin casusluk faaliyetlerinde bulunur: Yeni oluşturulan manzaraları izlemek için bir içerik gözlemcisi kurar ve manzaralar ortaya çıktıkça bunları yükler. Ayrıyeten her beş dakikada bir yeni dokümanları tarayan periyodik bir vazife planlayarak daima nezaret ve data toplama sağlar.
Kampanya, ClickFix tabanlı makus hedefli yazılım dağıtımı ve WhatsApp hesap ele geçirme tekniklerini içeren daha geniş bir altyapıyla da ilişkili. Bu operasyonlar, uydurma web sitelerini, ulusal yetkililerin kimliğine bürünmeyi ve aldatıcı, QR kodu tabanlı aygıt irtibatlarını kullanarak hem masaüstü hem de taşınabilir platformları tehlikeye atar. ClickFix, kullanıcıları görünüşte yasal talimatları izleyerek aygıtlarında makus maksatlı kodu manuel olarak çalıştırmaya yönlendiren bir toplumsal mühendislik tekniği.
ClickFix saldırısı yoluyla masaüstü hedeflemenin yanı sıra WhatsApp kullanıcılarını hedefleyen taşınabilir odaklı bir operasyonda berbat emelli bir tesir alanı kullanıldı. Kurbanlar, Android aygıtlarını yahut iPhone’larını WhatsApp Web yahut Desktop’a bağlamak için bir QR kodunu tarayarak Pakistan Savunma Bakanlığı’nın bir kanalı üzere görünen kelamda bir topluluğa katılmaya ikna edildi. GhostPairing olarak bilinen bu teknik, saldırganların kurbanların sohbet geçmişine ve şahıslarına erişim sağlamasına, hesap sahipleriyle tıpkı seviyede görünürlük ve denetim elde etmesine ve böylelikle özel irtibatlarını tesirli bir halde tehlikeye atmasına imkan tanır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
