ProSpy ve ToSpy: Android Kullanıcılarını Hedef Alan Yeni Casus Yazılım Kampanyaları
Son dönemde yapılan araştırmalara göre, ProSpy ve ToSpy isimli iki yeni casus yazılım kampanyası, Android kullanıcılarını hedef alıyor. Bu kampanyalar, Signal ve ToTok mesajlaşma uygulamaları için sahte güncellemeler veya eklentiler sunarak hassas verileri çalma amacı güdüyor. Casus yazılımların meşru birer uygulama gibi görünmesi için, tehdit aktörleri sahte web siteleri aracılığıyla bu dosyaları yayıyor.
Signal ve ToTok Nedir?
Signal, uçtan uca şifreli bir mesajlaşma uygulamasıdır ve Google Play üzerinde 100 milyondan fazla indirme rakamına sahiptir. Kullanıcıların özel bilgilerinin korunması konusunda önemli bir yere sahiptir. Diğer yandan, ToTok, Birleşik Arap Emirlikleri merkezli bir yapay zeka şirketi olan G42 tarafından geliştirilmiştir. 2019 yılında, Birleşik Arap Emirlikleri hükümeti için bir casusluk aracı olduğu iddiaları nedeniyle Apple ve Google uygulama mağazalarından kaldırılmıştır. Şu an, resmi web sitesinden ve üçüncü parti uygulama mağazalarından indirilebilir durumdadır.
Gizlilik ve Süreklilik
Siber güvenlik şirketi ESET, ProSpy kampanyasını Haziran ayında keşfetti. Ancak araştırmalar, bu faaliyetlerin en azından 2024’tan beri devam ediyor olabileceğini ortaya koymakta. Bu zararlı kampanyaların, Birleşik Arap Emirlikleri’ndeki kullanıcıları hedef aldığı belirlenmiştir. Araştırmalar sonucunda iki yeni casus yazılım ailesi ortaya çıkarılmıştır; bunlar Signal Şifreleme Eklentisi ve Pro versiyonu ile ToTok uygulamasıdır. Bu uygulamaların gerçekte var olmadığı anlaşılmaktadır.
Zararlı APK dosyaları, resmi Signal web sitesi ve Samsung Galaxy Store gibi birçok sahte web sitesi aracılığıyla dağıtılmaktadır. Araştırmacılar tarafından denenen bazı sahte siteler erişime kapalıydı, biri ise resmi ToTok web sitesine yönlendiriyordu.
Veri Çalma Mekanizması
ProSpy casus yazılımları çalıştırıldığında, kullanıcılardan genellikle mesajlaşma uygulamalarının istekleri olan iletişim listesini, SMS’leri ve dosyalara erişim talep etmektedir. Aktif hale geldiğinde, şunları ele geçirir:
- Cihaz bilgileri (donanım, işletim sistemi, IP adresi)
- Depolanmış SMS metinleri ve iletişim listesi
- Dosyalar (ses, belgeler, resimler, videolar)
- ToTok yedekleme dosyaları
- Yüklenen uygulamaların listesi
Kendi kimliğini gizlemek için, Signal Şifreleme Eklentisi ana ekranda ‘Play Services’ simgesi ve etiketi kullanmaktadır. Kullanıcının simgeye dokunduğunda, gerçek Google Play Services uygulamasının bilgi ekranı açılmaktadır.
ToSpy Kampanyası ve Özellikleri
ToSpy kampanyasının durumu, komut ve kontrol altyapısının aktifliğinden dolayı halen devam etmektedir. ESET, ToSpy’nın en az 2022 yılından beri faal olabileceğine dair birçok belirti saptamıştır. Geliştirici sertifikası, dağıtım amacıyla kullanılan bir alan adı gibi unsurlar bu durumu desteklemektedir.
Sahte ToTok uygulaması, kurbanlardan iletişim ve depolama erişim izinleri talep eder ve bunları toplayarak belgeler, resimler, videolar ve ToTok sohbet yedeklemeleri (.ttkmbackup dosyaları) üzerinde yoğunlaşır. ESET’in raporu, bütün ele geçirilen verilerin öncelikle AES asimetrik şifreleme algoritması ile şifrelendiğini belirtmektedir.
Gizlilik Sağlama Yöntemleri
ToSpy, mevcut ToTok uygulaması açıldığında, gerçekten mevcutsa onu başlatmaktadır. Eğer bu uygulama yoksa, zararlı yazılım kullanıcının resmi ToTok uygulamasını elde etmesi için Huawei AppGallery’i açmaya çalışır. Her iki casus yazılım ailesi de enfekte olmuş cihazlarda şu üç süreklilik mekanizmasını kullanır:
- AlarmManager Android sistem API’sını kötüye kullanarak, öldürüldüğünde otomatik olarak yeniden başlar.
- Sürekli bildirimlerle bir ön plan hizmeti kullanarak, sistemin bunu yüksek öncelikli bir işlem olarak görmesini sağlar.
- BOOT_COMPLETED yayın etkinliklerini almak için kayıtlıdır, böylece cihaz yeniden başlatıldığında kullanıcı etkileşimi olmaksızın casus yazılım yeniden başlatılabilir.
Öneriler ve Güvenlik Önlemleri
ESET, ProSpy ve ToSpy kampanyalarıyla ilişkili tehdit göstergelerinin kapsamlı bir listesini paylaşmıştır, ancak atıf net olmamaktadır. Android kullanıcılarına yalnızca resmi veya güvenilir depolardan uygulama indirmeleri, ayrıca Play Protect hizmetini etkin tutmaları önerilmektedir. Bu, bilinen tehditleri devre dışı bırakmak için önemli bir adımdır.
Mobil cihazlarımızdaki güvenlik, özellikle günümüzde daha da önem kazanırken, kullanıcıların dikkatli olmaları ve veri hırsızlığına karşı tedbir almaları her zamankinden daha kritik hale gelmiştir.
