Gilgit-Baltistan bölgesine hizmet veren bölgesel bir haber sitesinin Urduca konuşan okuyucuları, muhtemelen daha önce belgelenmemiş bir Android casus yazılımını dağıtmak için tasarlanmış bir sulama deliği saldırısının hedefi olarak ortaya çıkmışlardır. Kamran.
ESET’in yürüttüğü kampanya keşfettiHunza News’den yararlanıyor (urdu.hunzanews)[.]net), bir mobil cihazda açıldığında Urduca sürümünün ziyaretçilerinden doğrudan web sitesinde barındırılan Android uygulamasını yüklemelerini ister.
Ancak uygulama, kötü niyetli casusluk yetenekleri içeriyor ve saldırı bugüne kadar en az 20 mobil cihazı tehlikeye atıyor. 7 Ocak ile 21 Mart 2023 arasında bir zamandan beri web sitesinde mevcuttu. kitlesel protestolar Bölgede arazi hakları, vergilendirme ve kapsamlı elektrik kesintileri nedeniyle toplantılar yapıldı.
Paket kurulumunun ardından etkinleştirilen kötü amaçlı yazılım, izinsiz izinler talep ederek cihazlardan hassas bilgileri toplamasına olanak tanıyor.
Buna kişiler, arama kayıtları, takvim etkinlikleri, konum bilgileri, dosyalar, SMS mesajları, fotoğraflar, yüklü uygulamaların listesi ve cihaz meta verileri dahildir. Toplanan veriler daha sonra Firebase’de barındırılan bir komuta ve kontrol (C2) sunucusuna yüklenir.
Kamran, uzaktan kontrol yeteneklerinden yoksun ve tasarımı da basit; sızma faaliyetlerini yalnızca kurban uygulamayı açtığında gerçekleştiriyor ve zaten iletilmiş olan verileri takip edecek hükümlerden yoksun.
Bu, aynı bilgiyi, arama kriterlerini karşılayan yeni verilerle birlikte tekrar tekrar C2 sunucusuna gönderdiği anlamına gelir. Kamran’ın henüz bilinen herhangi bir tehdit aktörü veya grubuyla ilişkilendirildiği belirtilmedi.
“Bu kötü amaçlı uygulama hiçbir zaman Google Play Store üzerinden sunulmadığı ve Google tarafından bilinmeyen olarak adlandırılan kimliği belirsiz bir kaynaktan indirildiği için, bu uygulamayı yüklemek için kullanıcıdan bilinmeyen kaynaklardan uygulama yükleme seçeneğini etkinleştirmesi rica olunur.” Araştırmacı Lukáš Štefanko şöyle konuştu:
