Siber güvenlik alanında dünya lideri olan ESET, Signal ve ToTok kullanıcılarını maksat alan iki Android casus yazılım kampanyası ortaya çıkardı. Birleşik Arap Emirlikleri (BAE) vatandaşlarını amaç aldığı düşünülen bu kampanyalar, aldatıcı web siteleri ve toplumsal mühendislik yoluyla berbat gayeli yazılım dağıtıyor.
ESET’in araştırması, daha evvel belgelenmemiş iki casus yazılım ailesinin keşfedilmesine yol açtı: Android/Spy.ProSpy, Signal uygulaması ve tartışmalı ve kullanımdan kaldırılan ToTok uygulaması için yükseltme yahut eklenti üzere davranırken Android/Spy.ToSpy ise ToTok uygulamasını taklit ediyor. C&C sunucularının hâlâ etkin olması, ToSpy kampanyalarının devam ettiğini gösteriyor.
Keşfi yapan ESET araştırmacısı Lukáš Štefanko mevzu ile ilgili yaptığı açıklamada şunları söyledi: “Casus yazılım içeren hiçbir uygulama resmî uygulama mağazalarında mevcut değildi. Her ikisinin de yasal hizmetler üzere görünen üçüncü taraf web sitelerinden manuel olarak yüklenmesi gerekiyor. Bilhassa, ToSpy berbat gayeli yazılım ailesini dağıtan web sitelerinden biri Samsung Galaxy Store’u taklit ederek kullanıcıları ToTok uygulamasının berbat gayeli bir sürümünü manuel olarak indirip yüklemeye yönlendirdi. Yükledikten sonra, her iki casus yazılım ailesi de kalıcılıklarını koruyor ve güvenliği ihlal edilmiş Android aygıtlardan hassas bilgileri ve evrakları daima olarak sızdırıyor. BAE’de teyit edilen tespitler ve kimlik avı ve düzmece uygulama mağazalarının kullanımı, stratejik dağıtım düzeneklerine sahip bölgesel odaklı operasyonları akla getiriyor.”
ESET Research, ProSpy kampanyasını Haziran 2025’te keşfetti ve bu kampanya muhtemelen 2024’ten beri devam ediyor. ProSpy, irtibat platformları Signal ve ToTok’u taklit etmek için tasarlanmış üç aldatıcı web sitesi aracılığıyla dağıtılıyor. Bu siteler, Signal Encryption Plugin ve ToTok Pro kılığına girmiş, güzelleştirme üzere görünen makus maksatlı APK’lar sunuyor. ae.net alt dizesiyle biten bir alan isminin kullanılması, kampanyanın Birleşik Arap Emirlikleri’nde ikamet eden şahısları hedeflediğini düşündürüyor zira AE, BAE’nin iki harfli ülke kodu.
Soruşturma sırasında ESET, birebir casus yazılım kod tabanını kullanan ve ToTok Pro ismi altında ToTok iletileşme uygulamasının geliştirilmiş bir sürümü üzere görünen beş adet daha berbat maksatlı APK keşfetti. Birleşik Arap Emirlikleri’nde geliştirilen tartışmalı fiyatsız iletileşme ve arama uygulaması ToTok, nezaret telaşları nedeniyle Aralık 2019’da Google Play ve Apple’ın App Store’undan kaldırıldı. Kullanıcı tabanının çoğunlukla BAE’de olduğu göz önüne alındığında ToTok Pro’nun bu bölgedeki kullanıcıları gaye alıyor olması beklenen zira bu kullanıcılar kendi bölgelerindeki resmî olmayan kaynaklardan uygulamayı indirme eğiliminde olabilirler.
Çalıştırıldığında her iki makûs maksatlı uygulama da aygıta kaydedilmiş şahıslara, SMS bildirilerine ve evraklara erişim müsaadesi istiyor. Bu müsaadeler verilirse ProSpy art planda data sızdırmaya başlıyor. Signal Encryption Plugin, aygıt bilgilerini, kaydedilmiş SMS iletilerini ve kişi listesini çıkarır ve sohbet yedeklemeleri, ses, görüntü ve manzaralar üzere öbür evrakları sızdırır.
Haziran 2025’te, ESET telemetri sistemleri, BAE’de bulunan bir aygıttan kaynaklanan ve etkin olarak yayılan, daha evvel belgelenmemiş öteki bir Android casus yazılım ailesini tespit etti. ESET, bu makûs gayeli yazılımı Android/Spy.ToSpy olarak etiketledi. Daha sonra yapılan araştırma, ToTok uygulamasını taklit eden dört aldatıcı dağıtım web sitesini ortaya çıkardı. Uygulamanın bölgesel popülaritesi ve tehdit aktörleri tarafından kullanılan taklit taktikleri göz önüne alındığında bu casus yazılım kampanyasının birincil maksatlarının BAE yahut etrafındaki bölgelerdeki kullanıcılar olduğu kestirim edilebilir. Casus yazılım art planda şu bilgileri toplayabilir ve dışarı aktarabilir: Kullanıcı şahısları, sohbet yedeklemeleri, imgeler, dokümanlar, ses ve görüntü üzere aygıt bilgi evrakları. ESET’in bulguları, ToSpy kampanyasının muhtemelen 2022 ortasında başladığını göstermektedir.
Lukáš Štefanko, “Kullanıcılar, resmî olmayan kaynaklardan uygulama indirirken ve bilinmeyen kaynaklardan yüklemeyi etkinleştirirken ayrıyeten resmî uygulama mağazaları dışındaki uygulamaları yahut eklentileri, bilhassa muteber hizmetleri geliştirdiğini sav edenleri yüklerken dikkatli olmalıdır” tavsiyesinde bulundu.
Kaynak: (BYZHA) Beyaz Haber Ajansı