ESET Research, bir çeviri uygulaması üzere görünen FurBall casus yazılımının İran vatandaşlarını amaç aldığını tespit etti
ESET araştırmacıları yakın vakitte, APT-C-50 kümesi tarafınca düzenlenen Domestic Kitten akınında kullanılan Android makûs maksatlı yazılımı FurBall’un yeni bir sürümünü tespit etti.
Domestic Kitten saldırısının İran vatandaşlarını maksat alan taşınabilir gözetleme operasyonları yürüttüğü biliniyor ve bu yeni FurBall versiyonunun da gayesi tıpkı. Haziran 2021’den bu yana makale, mecmua ve kitap çevirileri sunan bir İran web sitesi, kendini taklit eden bir çeviri uygulaması olarak dağıtılıyor. 2016 yılından beri görülen Domestic Kitten saldırısı devam ediyor.
FurBall’un yeni sürümü, evvelki sürümlerle tıpkı nezaret fonksiyonuna sahip. Bu varyantın fonksiyonelliği değişmediğinden, bu güncellemenin temel maksadı güvenlik yazılımı tarafınca algılanmayı önlemek üzere görünüyor. Fakat bu değişikliklerin ESET yazılımı üzerinde hiç bir tesiri yok; ESET eserleri bu tehdidi Android/Spy.Agent.BWS olarak algılıyor. Bu taarruzlar başladığından beri bu operasyonda kullanılan Android makus gayeli yazılımı olan FurBall, KidLogger ticari takip yazılımı aracı temel alınarak oluşturuluyor.
Analiz edilen örnek, bireylere erişim sağlamak için tek bir müsaadesiz geçiş istiyor. ESET uzmanları bunun ayrıyeten, metin iletileri yoluyla gerçekleştirilen bir gayeye yönelik kimlik avı saldırısının evvelki etabı olabileceğini de düşünüyor. Tehdit aktörü uygulama müsaadelerini genişletirse, etkilenen telefonlardan SMS iletileri, aygıt pozisyonu, kayıtlı telefon görüşmeleri ve fazlaca daha fazla bilgi çeşidini de sızdırabilir.
Kötü hedefli yazılımı keşfeden ESET araştırmacısı Lukáš Štefanko bu bahiste şunları söylemiş oldu:“Bu makûs gayeli Android uygulaması, İngilizce’den Farsça’ya çevrilmiş makaleler ve kitaplar sunan yasal bir siteyi (downloadmaghaleh.com) taklit eden düzmece bir web sitesi aracılığıyla dağıtılıyor. Yasal web sitesindeki bağlantı detaylarıne dayanarak, bu hizmeti İran’dan sağlıyorlar. Bu niçinle taklitçi web sitesinin İran vatandaşlarını gaye aldığını düşünüyoruz. Taklitçi, Farsça ‘Uygulamayı indir” yazan bir düğmeye tıkladıktan daha sonra indirilen bir Android uygulaması sunar. Düğmede Google Play logosu bulunuyor, fakat bu uygulama Google Play mağazasında mevcut değil, direkt saldırganın sunucusundan indiriliyor.”
Kaynak: (BYZHA) – Beyaz Haber Ajansı
ESET araştırmacıları yakın vakitte, APT-C-50 kümesi tarafınca düzenlenen Domestic Kitten akınında kullanılan Android makûs maksatlı yazılımı FurBall’un yeni bir sürümünü tespit etti.
Domestic Kitten saldırısının İran vatandaşlarını maksat alan taşınabilir gözetleme operasyonları yürüttüğü biliniyor ve bu yeni FurBall versiyonunun da gayesi tıpkı. Haziran 2021’den bu yana makale, mecmua ve kitap çevirileri sunan bir İran web sitesi, kendini taklit eden bir çeviri uygulaması olarak dağıtılıyor. 2016 yılından beri görülen Domestic Kitten saldırısı devam ediyor.
FurBall’un yeni sürümü, evvelki sürümlerle tıpkı nezaret fonksiyonuna sahip. Bu varyantın fonksiyonelliği değişmediğinden, bu güncellemenin temel maksadı güvenlik yazılımı tarafınca algılanmayı önlemek üzere görünüyor. Fakat bu değişikliklerin ESET yazılımı üzerinde hiç bir tesiri yok; ESET eserleri bu tehdidi Android/Spy.Agent.BWS olarak algılıyor. Bu taarruzlar başladığından beri bu operasyonda kullanılan Android makus gayeli yazılımı olan FurBall, KidLogger ticari takip yazılımı aracı temel alınarak oluşturuluyor.
Analiz edilen örnek, bireylere erişim sağlamak için tek bir müsaadesiz geçiş istiyor. ESET uzmanları bunun ayrıyeten, metin iletileri yoluyla gerçekleştirilen bir gayeye yönelik kimlik avı saldırısının evvelki etabı olabileceğini de düşünüyor. Tehdit aktörü uygulama müsaadelerini genişletirse, etkilenen telefonlardan SMS iletileri, aygıt pozisyonu, kayıtlı telefon görüşmeleri ve fazlaca daha fazla bilgi çeşidini de sızdırabilir.
Kötü hedefli yazılımı keşfeden ESET araştırmacısı Lukáš Štefanko bu bahiste şunları söylemiş oldu:“Bu makûs gayeli Android uygulaması, İngilizce’den Farsça’ya çevrilmiş makaleler ve kitaplar sunan yasal bir siteyi (downloadmaghaleh.com) taklit eden düzmece bir web sitesi aracılığıyla dağıtılıyor. Yasal web sitesindeki bağlantı detaylarıne dayanarak, bu hizmeti İran’dan sağlıyorlar. Bu niçinle taklitçi web sitesinin İran vatandaşlarını gaye aldığını düşünüyoruz. Taklitçi, Farsça ‘Uygulamayı indir” yazan bir düğmeye tıkladıktan daha sonra indirilen bir Android uygulaması sunar. Düğmede Google Play logosu bulunuyor, fakat bu uygulama Google Play mağazasında mevcut değil, direkt saldırganın sunucusundan indiriliyor.”
Kaynak: (BYZHA) – Beyaz Haber Ajansı