Siber güvenlik alanında dünya lideri olan ESET, Signal ve ToTok kullanıcılarını amaç alan iki Android casus yazılım kampanyası ortaya çıkardı. Birleşik Arap Emirlikleri (BAE) vatandaşlarını maksat aldığı düşünülen bu kampanyalar, aldatıcı web siteleri ve toplumsal mühendislik yoluyla makus maksatlı yazılım dağıtıyor.
ESET’in araştırması, daha evvel belgelenmemiş iki casus yazılım ailesinin keşfedilmesine yol açtı: Android/Spy.ProSpy, Signal uygulaması ve tartışmalı ve kullanımdan kaldırılan ToTok uygulaması için yükseltme yahut eklenti üzere davranırken Android/Spy.ToSpy ise ToTok uygulamasını taklit ediyor. C&C sunucularının hâlâ etkin olması, ToSpy kampanyalarının devam ettiğini gösteriyor.
Keşfi yapan ESET araştırmacısı Lukáš Štefanko mevzu ile ilgili yaptığı açıklamada şunları söyledi: “Casus yazılım içeren hiçbir uygulama resmî uygulama mağazalarında mevcut değildi. Her ikisinin de yasal hizmetler üzere görünen üçüncü taraf web sitelerinden manuel olarak yüklenmesi gerekiyor. Bilhassa, ToSpy berbat hedefli yazılım ailesini dağıtan web sitelerinden biri Samsung Galaxy Store’u taklit ederek kullanıcıları ToTok uygulamasının makus emelli bir sürümünü manuel olarak indirip yüklemeye yönlendirdi. Yükledikten sonra, her iki casus yazılım ailesi de kalıcılıklarını koruyor ve güvenliği ihlal edilmiş Android aygıtlardan hassas bilgileri ve evrakları daima olarak sızdırıyor. BAE’de teyit edilen tespitler ve kimlik avı ve geçersiz uygulama mağazalarının kullanımı, stratejik dağıtım düzeneklerine sahip bölgesel odaklı operasyonları akla getiriyor.”
ESET Research, ProSpy kampanyasını Haziran 2025’te keşfetti ve bu kampanya muhtemelen 2024’ten beri devam ediyor. ProSpy, irtibat platformları Signal ve ToTok’u taklit etmek için tasarlanmış üç aldatıcı web sitesi aracılığıyla dağıtılıyor. Bu siteler, Signal Encryption Plugin ve ToTok Pro kılığına girmiş, güzelleştirme üzere görünen makus emelli APK’lar sunuyor. ae.net alt dizesiyle biten bir alan isminin kullanılması, kampanyanın Birleşik Arap Emirlikleri’nde ikamet eden bireyleri hedeflediğini düşündürüyor zira AE, BAE’nin iki harfli ülke kodu.
Soruşturma sırasında ESET, tıpkı casus yazılım kod tabanını kullanan ve ToTok Pro ismi altında ToTok iletileşme uygulamasının geliştirilmiş bir sürümü üzere görünen beş adet daha makûs emelli APK keşfetti. Birleşik Arap Emirlikleri’nde geliştirilen tartışmalı fiyatsız iletileşme ve arama uygulaması ToTok, nezaret telaşları nedeniyle Aralık 2019’da Google Play ve Apple’ın App Store’undan kaldırıldı. Kullanıcı tabanının çoğunlukla BAE’de olduğu göz önüne alındığında ToTok Pro’nun bu bölgedeki kullanıcıları maksat alıyor olması olası zira bu kullanıcılar kendi bölgelerindeki resmî olmayan kaynaklardan uygulamayı indirme eğiliminde olabilirler.
Çalıştırıldığında her iki makus emelli uygulama da aygıta kaydedilmiş şahıslara, SMS bildirilerine ve belgelere erişim müsaadesi istiyor. Bu müsaadeler verilirse ProSpy art planda bilgi sızdırmaya başlıyor. Signal Encryption Plugin, aygıt bilgilerini, kaydedilmiş SMS iletilerini ve kişi listesini çıkarır ve sohbet yedeklemeleri, ses, görüntü ve imajlar üzere öteki belgeleri sızdırır.
Haziran 2025’te, ESET telemetri sistemleri, BAE’de bulunan bir aygıttan kaynaklanan ve etkin olarak yayılan, daha evvel belgelenmemiş öbür bir Android casus yazılım ailesini tespit etti. ESET, bu berbat gayeli yazılımı Android/Spy.ToSpy olarak etiketledi. Daha sonra yapılan araştırma, ToTok uygulamasını taklit eden dört aldatıcı dağıtım web sitesini ortaya çıkardı. Uygulamanın bölgesel popülaritesi ve tehdit aktörleri tarafından kullanılan taklit taktikleri göz önüne alındığında bu casus yazılım kampanyasının birincil maksatlarının BAE yahut etrafındaki bölgelerdeki kullanıcılar olduğu iddia edilebilir. Casus yazılım art planda şu dataları toplayabilir ve dışarı aktarabilir: Kullanıcı şahısları, sohbet yedeklemeleri, imgeler, dokümanlar, ses ve görüntü üzere aygıt bilgi belgeleri. ESET’in bulguları, ToSpy kampanyasının muhtemelen 2022 ortasında başladığını göstermektedir.
Lukáš Štefanko, “Kullanıcılar, resmî olmayan kaynaklardan uygulama indirirken ve bilinmeyen kaynaklardan yüklemeyi etkinleştirirken ayrıyeten resmî uygulama mağazaları dışındaki uygulamaları yahut eklentileri, bilhassa emniyetli hizmetleri geliştirdiğini argüman edenleri yüklerken dikkatli olmalıdır” tavsiyesinde bulundu.
Kaynak: (BYZHA) Beyaz Haber Ajansı
