Araştırmacılar, indirilmesi zor olan tehlikeli bir kötü amaçlı yazılım buldu…

SpaceCobra olarak herkesçe malum olan bir PC korsanlığı grubu, hedef cihazdan pek fazlaca duyarlı bilgiyi çalabilen bir anlık mesajlaşma uygulaması geliştirdi. Araştırmacılar uygulamayı indirmekte zorlandığı için, tehdit aktörü tam olarak kimi hedeflemek istediğini biliyor şeklinde görünüyor.

ESET siber güvenlik araştırmacıları kısa bir süre evvel BingeChat ve Chatico adlı iki mesajlaşma uygulamasının aslına bakarsak bir ıraktan erişim trojan’i olan GravityRAT’ı çalıştırdığını keşfetti. Bu RAT, arama günlükleri, şahıs sıralaması, SMS mesajları, aygıt konumu, en gerekli aygıt detayları ve resimler, fotoğraflar ve belgeler için belirli uzantılara haiz dosyalar iç oluş suretiyle güvenliği ihlal edilmiş uç noktalardan fazlaca sayıda duyarlı bilgiyi sızdırma kabiliyetine haiz.

Bu iki uygulamayı GravityRAT’i taşıyan öteki uygulamalardan ayıran en gerekli şey, bunların WhatsApp yedeklerini çalabilmesi ve dosyaları silmek için komutlar alabilmesi.

Dağıtım şekli değişik

Bu tehlikeyi daha da benzersiz kılan vasfı, fena amaçlı yazılımın dağıtılma şekli. Uygulamalar, uygulama mağazalarında bulunamıyor ve Google Play’e hiçbir süre yüklenmemiş şeklinde gözüküyor. Bunun yerine, yalnızca hususi hazırlanmış bir internet sayfasını ziyaret ederek ve bir hesap açarak indirilebiliyor. Bu vaziyet fazlaca hususi şeklinde gözükmeyebilir, sadece ESET araştırmacıları siteyi ziyaret ettiklerinde kayıtların “kapatılmış” olmasından dolayı bir hesap açamadılar. Bu da, araştırmacıları, grubun büyük ihtimalle belirli bir konum ya da IP adresini hedefleme mevzusunda fazlaca kati bir hedefe haiz olduğu sonucuna varmalarına neden oldu.

ESET araştırmacısı Lukáš Štefenko, “En ihtimaller içinde vaziyet, operatörlerin, yalnızca belirli bir kurbanın, büyük ihtimalle belirli bir IP adresi, coğrafi konum, hususi URL ile ya da belirli bir süre çerçevesi içinde ziyaret etmesini beklediklerinde kaydı açmaları” bulunduğunu söylüyor ve ekliyor: “BingeChat uygulamasını internet sayfası vesilesiyle indiremesek de VirusTotal’da bir dağıtım URL’si bulabildik.”

Kurbanların bir çok Hindistan’da

Binaen aleyh, kurbanların çoğunun Hindistan’da yaşamış olduğu görülüyor. SpaceCobra olarak tanımlanan saldırganlar Pakistan kökenli şeklinde gözüküyor. Araştırmacılar, kampanyanın büyük olasılıkla geçtiğimiz sene Ağustos ayından bu yana etken bulunduğunu ve ikisinden birinin (BingeChat) hala etken bulunduğunu söylemiş oldu. Açık kaynaklı OMEMO Instant Messenger uygulamasını en gerekli alan fena amaçlı uygulama, Windows, macOS ve Android işletim sistemlerini etkileyebiliyor.