Kuzey Kore destekli APT37 hacker grubu tarafından geliştirildiği düşünülen KoSpy adlı casus yazılımın cihazlara sızdığı tespit edildi. Telefonunuza yüklenmesi halinde SMS'lerinizden mikrofon kayıtlarınıza kadar tüm verilerinizi ele geçiriyor. İşte telefonunuzdan acilen kaldırmanız gereken uygulamalar.
Siber güvenlik araştırmacıları, Android cihazları hedef alan yeni bir casus yazılımı ortaya çıkardı. Lookout Threat Lab tarafından tespit edilen ve "KoSpy" adı verilen kötü amaçlı yazılımın, Kuzey Kore destekli APT37 adlı hacker grubu tarafından geliştirildiği düşünülüyor.
Analizlere göre zararlı yazılım, Korece ve İngilizce konuşan kullanıcıları hedef aldı ve "Dosya Yöneticisi", "Yazılım Güncelleme Yardımcı Programı" gibi hemen herkesin telefonunda yüklü bulunan araçlar gibi görünen mobil uygulamalar aracılığıyla yayıldı. Söz konusu uygulamalar, bir süreliğine Google Play Store'da durduktan sonra Google'ın müdahelesiyle kaldırıldı.
Lookout araştırmacıları, zararlı yazılımı içeren uygulamaların, Play Store haricinde, APKPure gibi üçüncü taraf mobil uygulama mağazaları üzerinden de yayılabileceği konusunda kullanıcıları uyardı.
Edinilen bilgilere göre KoSpy'ın çalışma mantığı şu şekilde:
Bir cihaza yüklendiğinde, sıradan bir uygulama gibi çalışarak kullanıcıyı işkillendirmeyecek bir arayüz sunuyor. Ancak arka planda, Firebase Firestore üzerinden uzaktan yönetilen bir komuta ve kontrol (C2) sunucusuna bağlanarak çeşitli zararlı işlevleri etkinleştiriyor.
Sistemin kullanıcılara ait SMS mesajları, çağrı geçmişi, konum bilgileri, yerel depolama alanındaki dosya ve klasörler, Wi-Fi ağı ayrıntıları ve yüklü uygulamalar gibi verileri toplayabildiği belirtiliyor. Ayrıca cihazın mikrofonunu kullanarak ses kaydı yapabiliyor, kamerasıyla fotoğraf çekebiliyor, ekran görüntüsü alabiliyor ve ekran kaydı gerçekleştirebiliyor.
Bununla da kalmayıp, telefonun dahili erişilebilirlik özelliklerinden faydalanarak tuş vuruşlarını bile kaydedebildiği tespit edildi.
Toplanan verilerin, güçlü bir AES şifreleme yöntemiyle kodlanarak saldırganların kontrolündeki sunuculara gönderildiği belirlendi. Siber güvenlik uzmanları, APT37 grubunun daha önce gerçekleştirdiği saldırılarla benzerlikler taşıyan altyapı bağlantıları sayesinde, zararlı yazılımın kökenine dair önemli ipuçları elde etti.
APT37'nin 2012'den beri faaliyet gösterdiği ve özellikle Güney Koreli vatandaşları ve kurumları hedef aldığı belirtiliyor. Yanı sıra Japonya, Vietnam, Rusya, Nepal, Çin, Hindistan, Romanya, Kuveyt ve Orta Doğu’da da siber casusluk operasyonları gerçekleştirdiği biliniyor. Uzmanlar, KoSpy'ın 2022 Mart ayından bu yana aktif olduğuna ve son örneğinin Mart 2024'te ele geçirildiğine inanıyor.
İLGİLİ HABERLER
Google Play
App Store
Haberi Paylaş
15:39
YORUM YAZ