Siber güvenlik araştırmacılarının Perşembe günü yaptığı açıklamaya göre, en az 2015’ten beri aktif olan uzun süredir devam eden bir casus yazılım operasyonunun bir parçası olarak Uygur topluluğunu hedef alan yeni bir mobil gözetim kampanyası dalgası gözlemlendi.
Başlangıçta bir tehdit aktörüne atfedilen izinsiz girişler kızıl mimik Ocak 2016’da, Android kötü amaçlı yazılımının kitap, resim ve Kuran’ın sesli versiyonu olarak gizlenmiş 20 farklı çeşidini kapsadığı söyleniyor.
Kötü amaçlı yazılım, teknik açıdan nispeten karmaşık olmasa da, virüslü bir cihazdan hassas verileri çalmak, kurban adına SMS mesajları göndermek, telefon görüşmeleri yapmak ve konumlarını izlemek için kapsamlı yeteneklerle birlikte gelir.
Ek olarak, gelen ve giden telefon görüşmelerinin yanı sıra çevredeki seslerin de kaydedilmesini sağlar.
İsrailli siber güvenlik firması Check Point, “Bütün bunlar onu güçlü ve tehlikeli bir gözetleme aracı yapıyor” söz konusu teknik bir derin dalışta, casus yazılımı çağırarak MobilSipariş.
Kampanyanın bir bölümünün yakın zamanda MalwareHunterTeam ve Cyble’dan araştırmacılar tarafından, sürgündeki Uygur lideri Dolkun Isa tarafından yazılan bir kitabın kötü amaçlı yazılımı dağıtmak için bir yem olarak kullanıldığı ifşa edildiğini belirtmekte fayda var.
Check Point, hiçbirinin tespit edilmediği 2021 hariç, 2015’ten Ağustos 2022’nin ortasına kadar vahşi doğada MobileOrder eserlerini gözlemlediğini söyledi.
Saldırı kampanyaları, muhtemelen, masum kurbanları, görünüşte zararsız belgelere, fotoğraflara ve ses dosyalarına atıfta bulunan kötü amaçlı uygulamaları başlatmaları için kandırmak için sosyal mühendislik taktiklerinin kullanılmasını içerir.
Bu uygulamalar, gerilla savaşı hakkında bir PDF ve savaşla ilgili resimler de dahil olmak üzere çeşitli yemler içerir. paramiliter güçlerin konuşlandırılması Sincan Uygur Özerk Bölgesi’nin başkenti Urumçi’de, ölümcül Nisan 2014 saldırısı.
Hileli uygulamayı açmak, hedefin arka planda kötü niyetli eylemleri fark etmesini engellemek için tasarlanmış bir sahte belge başlatır.
Araştırmacılar, “Bazı sürümler, yalnızca kötü amaçlı yazılımın cihaza tam erişimini sağlamakla kalmayıp, aynı zamanda kurbanın uygulamayı kolayca kaldırmasını engelleyen Cihaz Yöneticisi ve kök erişimi de istiyor.” Dedi.
MobileOrder tarafından desteklenen diğer özellikler arasında uzak bir kabuk yürütme ve hatta ek Android Paketi (APK) dosyalarını bırakma sayılabilir.
Kampanyanın Check Point’e göre Scarlet Mimic’e atfedilmesi, açık kod çakışmalarından, paylaşılan altyapıdan ve aynı mağduriyet kalıplarından kaynaklanmaktadır.
Ayrıca, MobileOrder’ın devam eden kullanımı, saldırı vektöründe masaüstünden mobil gözetime bir kaymaya işaret ediyor, aktör daha önce Psylo Trojan adlı bir Windows kötü amaçlı yazılımına bağlıydı.
Geçtiğimiz yedi yıl boyunca bu saldırılardan hangisinin başarılı olduğu net olmasa da, kötü amaçlı yazılım yazarlarının casus yazılımları dağıtmaya devam etmesi, bu çabaların bir kısmının meyvesini verdiğini gösteriyor.
Check Point, “Kampanyanın kalıcılığı, kötü amaçlı yazılımın evrimi ve belirli popülasyonları hedef almaya yönelik ısrarlı odaklanma, grubun yıllar içindeki operasyonlarının bir dereceye kadar başarılı olduğunu gösteriyor.” Dedi.
