Siber güvenlik araştırmacıları, Facebook ve Instagram gibi sosyal medya platformlarından bilgileri çıkarmak için genişletilmiş bir veri toplama özellikleriyle donatılmış LightSpy implantının güncellenmiş bir sürümünü işaretlediler.
LightSpy, veri toplama amacıyla hem pencereleri hem de Apple sistemlerini enfekte edebilen modüler bir casus yazılım için verilen addır. İlk olarak 2020’de Hong Kong’daki kullanıcıları hedefleyen belgelendi.
Buna Wi-Fi ağ bilgileri, ekran görüntüleri, konum, iCloud anahtarlık, ses kayıtları, fotoğraflar, tarayıcı geçmişi, kişiler, çağrı geçmişi ve SMS mesajları ve Dosyalar, Line, Mail Master, Telegram, Tencent QQ, gibi çeşitli uygulamalardan verileri içerir. Wechat ve Whatsapp.
Geçen yılın sonlarında, TehditFabric, desteklenen cihazın 12’den 28’e kadar genişletilmesinin yanı sıra, tehlikeye atılan cihazın önyüklemesini önlemek için yıkıcı yetenekleri içeren kötü amaçlı yazılımların güncellenmiş bir sürümünü detaylandırdı.
Önceki bulgular, LightSpy ve Dragonegg adında bir Android kötü amaçlı yazılım arasındaki potansiyel örtüşmeleri de ortaya çıkardı ve tehdidin platformlar arası doğasını vurguladı.
Hunt.io’nun, casus yazılımlarla ilişkili kötü amaçlı komut ve kontrol (C2) altyapısının son analizi, Android, iOS, Windows, macOS, yönlendiriciler ve Linux’u kapsayan 100’den fazla komut için destek açmıştır.
“Yeni komut listesi, iletim yönetimi (‘传输控制’) ve eklenti sürüm izleme (‘上传插件版本详细信息’),” şirketi, ” söz konusu.
“Bu eklemeler, LightSpy operatörlerinin dağıtımları birden fazla platformda daha verimli bir şekilde yönetmelerine olanak tanıyan daha esnek ve uyarlanabilir bir çerçeve öneriyor.”
Yeni komutlar arasında dikkate değer olan, Android cihazlardan veri çıkarma için Facebook ve Instagram uygulama veritabanı dosyalarını hedefleme yeteneğidir. Ancak ilginç bir bükülmede, tehdit aktörleri kurban sunucusundaki yıkıcı eylemlerle ilişkili iOS eklentilerini kaldırdı.
Ayrıca, çoğu Keylogging, Ses Kaydı ve USB etkileşimine yönelik olan sistem gözetimi ve veri toplama için tasarlanmış 15 pencereye özgü eklenti de keşfedildi.
Tehdit istihbarat firması, yönetici panelinde günlüğe kaydedilmiş kullanıcılara enfekte olmuş mobil cihazları uzaktan kontrol etme olanağı sağlayan bir uç nokta (“/telefon/PhoneInfo”) keşfettiğini söyledi. Şu anda bunların yeni gelişmeleri veya daha önce belgelenmemiş eski sürümleri temsil edip etmediği bilinmemektedir.
Hunt.io, “Mesajlaşma uygulamalarını hedeflemeden Facebook ve Instagram’a geçiş, LightSpy’nin yaygın olarak kullanılan sosyal platformlardan özel mesajlar, iletişim listeleri ve hesap meta verilerini toplama yeteneğini genişletiyor.” Dedi.
“Bu veritabanı dosyalarının çıkarılması, saldırganlara depolanan konuşmalar, kullanıcı bağlantıları ve potansiyel olarak oturumla ilgili veriler sağlayarak gözetim özelliklerini ve daha fazla sömürü için fırsatları artırabilir.”
Açıklama, Cyfirma’nın Google Play Store’da Finance Basitleştirilmiş (APK adı “com.someca.count”) adlı bir finansal uygulama olarak maskelenen bir Android kötü amaçlı yazılımın ayrıntılarını açıkladığı ancak yırtıcı kredi, şantaj ve gasp Hintli kullanıcılar.
“Konum tabanlı hedeflemeden yararlanarak uygulama, tamamen WebView içinde çalışan ve saldırganların oyun mağazası incelemesini atlamasına izin veren yetkisiz kredi uygulamalarının bir listesini görüntüler.” söz konusu.
“Kurulduktan sonra, bu kredi uygulamaları hassas kullanıcı verilerini hasat eder, sömürücü kredi uygulamalarını uygular ve şantaj taktiklerini zorla paraya kullanır.”
Reklamı yapılan kredi uygulamalarından bazıları KreditPro (eski adıyla Kreditapple), Moneyape, Stashfur, Fairbalance ve PokketMe’dir. Hindistan dışından basitleştirilmiş finans yükleyen kullanıcılara, kişisel finans, muhasebe ve vergilendirme için çeşitli hesap makinelerini listeleyen zararsız bir web görüntüsü sunulur ve kampanyanın özellikle Hintli kullanıcıları hedeflemek için tasarlandığını düşündürmektedir.
Uygulama artık resmi Android App Marketplace’ten indirilebilir. Sensör kulesinde bulunan istatistiklere göre, uygulama yayınlanmış Aralık 2024’ün ortalarında yaklaşık 100.000’den fazla kurulum çekti.
“Başlangıçta zararsız bir finans yönetimi uygulaması olarak sunuldu, bir kez yükledikten sonra, dosyalar, kişiler, çağrı günlükleri, SMS, pano içeriği ve hatta hatta hassas verilere erişmek için kapsamlı izinler kazanan harici bir indirme URL’sinden bir sahtekarlık kredisi uygulaması indirir. Kamera, “Cyfirma belirtti.
Hint perakende bankacılık müşterileri, meşru banka uygulamalarını taklit eden, ancak yetkisiz işlemler yaparak giriş bilgilerini toplamak ve finansal sahtekarlığı kolaylaştırmak için tasarlanmış bir kötü amaçlı yazılım kodlu Finstealer’ı dağıtan başka bir kampanyanın hedefi haline gelmiştir.
“Kimlik avı bağlantıları ve sosyal mühendislik aracılığıyla dağıtılan bu sahte uygulamalar, meşru banka uygulamalarını yakından taklit eder, kullanıcıları kimlik bilgilerini, finansal verileri ve kişisel ayrıntıları açığa çıkarır.” söz konusu.
“Telegram botlarını kullanarak, kötü amaçlı yazılım, şüphe yaratmadan talimatlar alabilir ve çalınan verileri gönderebilir, bu da güvenlik sistemlerinin iletişimi algılamasını ve engellemesini zorlaştırır.”
