Ukrayna’ya para bağışlamakla suçlanan bir Rus programcı, bu yılın başlarında gözaltına alındıktan sonra Federal Güvenlik Servisi (FSB) tarafından Android cihazına gizlice casus yazılım yerleştirdi.
Bulgular, ortak bir araştırmanın parçası olarak geldi. Birinci Bölüm ve Toronto Üniversitesi’nin Vatandaş Laboratuvarı.
Rapora göre, “Cihazına yerleştirilen casus yazılım, operatörün diğer yeteneklerin yanı sıra hedef cihazın konumunu izlemesine, telefon görüşmelerini, tuş vuruşlarını kaydetmesine ve şifreli mesajlaşma uygulamalarından gelen mesajları okumasına olanak tanıyor.”
Mayıs 2024’te Kirill Parubets piyasaya sürülmüş Rus yetkililer tarafından 15 günlük idari gözaltı süresinin ardından gözaltından çıkarıldı ve bu süre zarfında Android 10 çalıştıran Oukitel WP7 telefonuna kendisinden el konuldu.
Bu süre zarfında, yalnızca cihazının şifresini açıklamaya zorlamak için dövülmekle kalmadı, aynı zamanda kendisini FSB’ye muhbir olarak işe alması için “yoğun bir çabaya” da maruz kaldı, aksi takdirde ömür boyu hapis cezasıyla karşı karşıya kalma riskiyle karşı karşıya kaldı.
FSB, biraz zaman kazanmak ve kaçmak için de olsa ajans için çalışmayı kabul ettikten sonra cihazını Lubyanka genel merkezine iade etti. İşte bu aşamada Parubets, telefonun “Kol korteks vx3 senkronizasyonu” yazan bir bildirim de dahil olmak üzere alışılmadık davranışlar sergilediğini fark etmeye başladı.
O zamandan bu yana Android cihazın daha ayrıntılı bir incelemesi, orijinal cihazın truva atı haline getirilmiş bir sürümüyle oynandığını ortaya çıkardı. Küp Çağrı Kaydedici başvuru. Meşru uygulamanın “com.catalinagroup.callrecorder” paket adına sahip olduğunu belirtmekte fayda var. haydut mevkidaşı paket adı “com.cortex.arm.vx3.”
Sahte uygulama, SMS mesajları, takvimler dahil olmak üzere çok çeşitli verileri toplamasına, ek paketler yüklemesine ve telefon çağrılarını yanıtlamasına olanak tanıyan izinsiz izinler istemek üzere tasarlanmıştır. Ayrıca yasal uygulamanın parçası olan tüm işlevlere erişebilir, telefon görüşmelerini kaydedebilir ve kişi listelerini okuyabilir.
Citizen Lab, “Uygulamanın kötü amaçlı işlevlerinin çoğu, casus yazılımın şifrelenmiş ikinci aşamasında gizlidir” dedi. “Casus yazılım telefona yüklendikten ve çalıştırıldıktan sonra ikinci aşamanın şifresi çözülür ve belleğe yüklenir.”
İkinci aşama, tuş vuruşlarını günlüğe kaydetme, dosyaları ve saklanan şifreleri ayıklama, diğer mesajlaşma uygulamalarındaki sohbetleri okuma, JavaScript enjekte etme, kabuk komutlarını yürütme, cihazın kilit açma şifresini alma ve hatta yeni bir cihaz yöneticisi ekleme özelliklerini içerir.
Casus yazılım aynı zamanda Lookout tarafından 2019’da belgelenen Monokle adlı başka bir Android casus yazılımıyla da bir miktar örtüşme gösteriyor; bu da bunun güncellenmiş bir sürüm olduğu ya da Monokle’nin kod tabanı yeniden kullanılarak oluşturulduğu olasılığını artırıyor. Spesifik olarak, iki suş arasındaki bazı komuta ve kontrol (C2) talimatlarının aynı olduğu bulunmuştur.
Citizen Lab, kaynak kodunda iOS’a yapılan atıfları da tespit ettiğini ve casus yazılımın iOS sürümünün olabileceğini öne sürdüğünü söyledi.
“Bu dava, bir cihazın fiziksel gözetiminin FSB gibi düşmanca bir güvenlik hizmetine verilmesinin, güvenlik hizmetlerinin cihazın gözetiminde olduğu süreyi aşacak ciddi bir uzlaşma riski olabileceğini gösteriyor” dedi.
Açıklama, iVerify’ın gazetecilere, hükümet yetkililerine ve şirket yöneticilerine ait iOS ve Android cihazlarda yedi yeni Pegasus casus yazılım bulaştığını tespit ettiğini açıklamasının ardından geldi. Mobil güvenlik firması, casus yazılım geliştiricisi NSO Group’u Rainbow Ronin olarak takip ediyor.
Güvenlik araştırmacısı Matthias Frielingsdorf, “iOS 16.6’da 2023’ün sonlarından itibaren bir saldırı, iOS 15’te Kasım 2022’de başka bir potansiyel Pegasus enfeksiyonu ve iOS 14 ve 15’te 2021 ve 2022’ye kadar uzanan beş eski enfeksiyon” dedi. söz konusu. “Bunların her biri sessizce izlenebilecek, verileri sahibinin bilgisi olmadan ele geçirilebilecek bir cihazı temsil ediyordu.”
