Araştırmacılar, hükümetleri tarafından Kazakistan vatandaşları üzerinde gözetim gerçekleştiren Hermit adlı kurumsal düzeyde bir Android modüler casus yazılım ailesi keşfettiler.
Casus yazılımı tespit eden Lookout Threat Lab araştırmacıları, gizli İtalyan casus yazılım satıcısı RCS Lab’in bunu geliştirdiğini tahmin ediyor ve Hermit’in daha önce İtalya’daki 2019 yolsuzlukla mücadele operasyonunda İtalyan makamları tarafından konuşlandırıldığını söylüyor. Casus yazılım ayrıca ülkenin Kürt çoğunluğuna ev sahipliği yapan ve Suriye iç savaşı da dahil olmak üzere devam eden krizlerin yaşandığı kuzeydoğu Suriye’de de bulundu.
Android cihazlar geçmişte casus yazılımlarla kötüye kullanıldı; Sophos araştırmacıları, Kasım 2021’de Orta Doğulu bir APT grubuyla bağlantılı yeni Android casus yazılım türevlerini ortaya çıkardı. Google TAG tarafından yapılan daha yakın tarihli bir analiz, dünyanın dört bir yanından en az sekiz hükümetin, gizli gözetim amaçlarıyla Android sıfır gün açıklarından yararlandığını gösteriyor.
Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, casus yazılımların suç örgütleri, devlet veya devlet destekli tehdit aktörleri, ulusal güvenlik ve kanun uygulayıcı kuruluşlar da dahil olmak üzere dünya çapında birçok aktör tarafından kendi yetkileri doğrultusunda kullanılan bir araç olduğunu söylüyor.
“Kimin kullandığına veya hangi gündem için çalıştıklarına bakılmaksızın, bu ticari sınıf casus yazılım araçları insanların kişisel gizliliğini ciddi şekilde tehdit edebilir” diyor.
Son hafızadaki en yüksek profilli casus yazılım vakası, İsrailli şirket NSO Group tarafından geliştirilen yasal bir gözetim yazılımı olan Pegasus’un keşfiydi. Haber, insan hakları aktivistlerine, gazetecilere ve hükümetlerin üst düzey üyelerine ait iOS ve Android cep telefonlarına gizlice yüklendiği tespit edildikten sonra uluslararası bir tepkiye neden oldu.
Hermit Nasıl Çalışır?
Hermit, önce minimum gözetim kabiliyetine sahip bir çerçeve olarak hedeflenen bir cihaza kurulur. Ardından, talimat verildiği şekilde bir komut ve kontrol (C2) sunucusundan modülleri indirebilir ve bu modüllerde yerleşik casusluk işlevini etkinleştirebilir.
Bu modüler yaklaşım, kötü amaçlı yazılımı uygulamanın otomatik analizinden gizler ve manuel kötü amaçlı yazılım analizini önemli ölçüde zorlaştırır. Ek olarak, kötü niyetli aktörün, gözetim kampanyalarında veya bir hedef cihazın yeteneklerinde farklı işlevleri etkinleştirmesine ve devre dışı bırakmasına izin verir. Hermit, analiz araçlarından ve süreçlerinden kaçınmak için gerektiğinde davranışını da değiştirebilir.
Lookout’ta güvenlik araştırmacısı olan Paul Shunk, “Modüler tasarım aynı zamanda yazılım satıcısının iş modelinin bir parçası olabilir ve bireysel casusluk özelliklerini katma değerli satır öğeleri olarak satmalarına izin verebilir” diye açıklıyor. Hermit hakkında bir rapor
bugün.
Shunk, kötü amaçlı yazılımın genel tasarımının ve kod kalitesinin, gördüğü diğer birçok örnekle karşılaştırıldığında öne çıktığını söylüyor.
“Bunun, yazılım mühendisliğinin en iyi uygulamalarını anlayan içerik oluşturucular tarafından profesyonel olarak geliştirildiği açıktı” diyor. “Bunun ötesinde, kötü amaçlı yazılımlarla çok sık karşılaşmıyoruz. [that] bir cihazdan başarıyla yararlanabileceğini ve yükseltilmiş kök izinlerini kullanabileceğini varsayar.”
Hermit’in keşfinin, “yasal müdahale” gözetleme araçları için gizli pazarın resmine başka bir yapboz parçası eklediğini söylüyor.
Shunk, “NSO, Cytrox ve diğer satıcılarda olduğu gibi, müşterilerinin keşfi, genellikle ürünlerinin yalnızca meşru amaçlar için kullanıldığı ve en azından kısmen doğru olmadığı iddiasını ortaya çıkarır” diyor.
Lookout’un analiz ettiği Hermit örneklerinden biri, tuzak olarak Kazakça bir web sitesini kullandı.
Ve uygulama tarafından kullanılan ana C2 sunucusu, gerçek C2’nin Kazakistan’dan gelen bir IP’de barındırıldığı yalnızca bir proxy idi.
Shunk, “Kazakça konuşan kullanıcıları hedeflemenin ve arka uç C2 sunucusunun konumunun birleşimi, kampanyanın Kazakistan’daki bir kuruluş tarafından kontrol edildiğinin güçlü bir göstergesidir” diyor.
Lookout, casus yazılımın bir Apple iOS sürümünün de bulunduğunu, ancak araştırma ekibinin analiz etmek için bir örnek alamadığını söylüyor.
‘MaliBot’ İnternet Bankacılığını Hedefliyor
Bu arada, başka bir Android tabanlı kötü amaçlı yazılım ailesi, bu hafta İspanya ve İtalya’daki çevrimiçi bankacılık müşterilerini, kimlik bilgilerini ve kripto cüzdanlarını çalma yeteneğiyle hedefleyen Malibot biçiminde büyüttü. Kötü amaçlı yazılım, güvenlik şirketi mobil bankacılık Truva Atı FluBot’u takip ederken F5 Labs tarafından keşfedildi.
Kötü amaçlı yazılım iki kampanyadan oluşur: Kötü amaçlı yazılım Android Paket Kitine yönlendiren bir QR kodu sunan Mining X ve kullanıcıları Google Play Store’da bulunan popüler kripto para birimi izleme uygulamasının sahte bir sürümünü indirmeye ikna etmeye çalışan TheCryptoApp.
Ayrıca, çok faktörlü kimlik doğrulama kodlarını çalabilir veya atlayabilir ve kurbanları, doğrudan bir SMS kimlik avı mesajı veya cezbedildikleri sahte web siteleri aracılığıyla kötü amaçlı yazılımı indirmeleri için kandırabilir.
“Bu kesinlikle dikkat edilmesi gereken bir konu ve F5, özellikle kötü amaçlı yazılımın çok yönlülüğünün prensipte, kimlik bilgilerini ve kripto para birimini çalmaktan daha geniş bir saldırı yelpazesi için kullanılabileceği düşünüldüğünde, zaman geçtikçe daha geniş bir hedef yelpazesi görmeyi bekliyor. ” F5 uyarır Blog yazısı.
