Giriş
Kuzey Koreli siber saldırgan grubu APT37, BirdCall adında bir arka kapı yazılımının Android versiyonunu, bir video oyun platformu aracılığıyla dağıtarak tedarik zinciri saldırısı gerçekleştirmektedir. Bu durum, kullanıcıların mobil cihazlarının güvenlik açıdan büyük bir tehdit altında olduğunu göstermektedir.
Saldırı Nasıl Çalışıyor?
APT37, ScarCruft ve Ricochet Chollima olarak da bilinir, BirdCall’ı Android için geliştirdi ve ESET’in araştırmalarına göre bu yazılım, Ekim 2024 civarında ortaya çıkmıştır. ESET, belirli bir platform üzerinden gerçekleştirilen saldırılarda, bu kötü amaçlı yazılımın sqgame[.]net adresinden indirildiğini tespit etmiştir. Ancak bu platform üzerinde yalnızca Android ve Windows sistemleri hedef alınmaktadır.
Etkilenen Sistemler
BirdCall, daha önce Windows sistemleri için bilinen bir kötü amaçlı yazılım ailesidir. Android versiyonu, çeşitli yetenekler sunarak kullanıcıların üzerinde ciddi tehditler oluşturuyor. Bu bağlamda, BirdCall’ın Android versiyonu şu yeteneklere sahiptir:
- IP konum bilgilerini çıkartır.
- Kişi listesi, çağrı kaydı ve SMS toplar.
- Cihazın işletim sistemi, çekirdek, köklenmiş durumu, IMEI numarası, MAC adresi, IP adresi ve ağ bilgilerini toplar.
- Pil sıcaklığı, RAM ve depolama bilgilerini, bulut yapılandırmasını, arka kapı versiyonunu ve ilgi alanındaki dosya uzantılarını C2 sunucusuna gönderir.
- Düzenli aralıklarla ekran görüntüleri alır.
- Yerel saatle 19:00 ile 22:00 arasında mikrofon aracılığıyla ses kaydeder.
- İşlemin askıya alınmasını önlemek için döngüde sessiz MP3 çalar.
- Belli bir dizinden dosya exfiltrasyonu gerçekleştirir.
ESET’in analizine göre, Android versiyonu Windows versiyonundaki tüm komutları henüz içermemektedir. Android sürümünde bulunmayan yetenekler arasında shell komutlarının yürütülmesi, trafik proxylemesi, tarayıcı ve mesajlaşma uygulamalarından veri hedefleme, dosya silme, dosya bırakma ve süreç öldürme yer almaktadır.
Çözüm ve Korunma
Kötü amaçlı yazılım enfeksiyon riskini azaltmak için kullanıcıların şu adımları izlemeleri önerilmektedir:
- Yazılımları yalnızca resmi pazar yerlerinden ve güvenilir yayıncı sitelerinden indirin.
- Cihaz güncellemelerini düzenli olarak gerçekleştirin.
- Güçlü bir güvenlik yazılımı kullanarak cihazlarınızı koruyun.
- Sosyal mühendislik saldırılarına karşı dikkatli olun.
Sonuç olarak, Android kullanıcılarının dikkatli olmaları, yazılımlarını güncellemeleri ve yalnızca güvenilir kaynaklardan yazılım indirmeleri gerekmektedir. Ayrıca, şüpheli aktiviteler gözlemlediklerinde hızlıca güvenlik önlemleri almalı ve gerektiğinde destek talep etmelidirler.
