Siber güvenlik uzmanları, Android aygıtları amaç alan iki yeni casus yazılımı ortaya çıkardı. ProSpy ve ToSpy isimli ziyanlı yazılımlar, uydurma Signal ve ToTok uygulamaları aracılığıyla yayıldı. Pak görünen eklenti ve güncelleme belgeleriyle kullanıcıların aygıtlarına sızan bu yazılımların, bilhassa Orta Doğu bölgesinde ağır halde etkin olduğu tespit edildi.

ProSpy kampanyası, Signal’e aitmiş üzere görünen düzmece bir eklentiyle kullanıcıları kandırdı. Heyetimin çabucak akabinde indirilen paket, aygıtın bildiri kayıtları, kişi listesi ve evraklarına erişim için gerekli müsaadeleri talep etti. Yükleme tamamlandığında berbat gayeli yazılım art planda çalışmaya başlayıp kişisel dataları çalındı ve saldırganların denetimindeki sunuculara iletti.

Google Play Taklit Edildi

Saldırganlar, ziyanlı yazılımın kapalı kalması için aldatıcı metotlara başvurdu. Uygulama, ana ekranda Google Play Hizmetleri simgesini taklit ederek kullanıcıların gözünde sağlam görünüyordu. Simgeye dokunulduğunda ise gerçek Play Hizmetleri penceresi açılarak kuşku çekmesi engellendi. Bu usul, makûs yazılımın aygıtlarda uzun müddet farkedilmeden çalışmasını sağladı.

ToSpy ise uydurma ToTok sürümleri üzerinden yayıldı. Kullanıcılar uygulamayı yüklediğinde depolama müsaadesi istendi ve çabucak akabinde belgeler, fotoğraflar, görüntüler ile sohbet yedekleri yani şahsî bilgileri çalınarak saldırganların sunucularına aktarıldı.

Uygulama başlatıldığında, art planda gerçek ToTok uygulaması çalıştırılıyordu. Bu sayede kurbanlar uydurma yazılımı fark etmekte zorlanıyordu. Aygıtta ToTok yüklü değilse kullanıcılar resmi mağazalara yönlendiriliyor ve uygulamanın indirilmesi sağlanıyordu.

ESET Hileyi Tespit Etti

ESET’in incelemesine nazaran iki kampanya farklı vakitlerde etkinleştirildi. ToSpy, 2022’de kurulan bir altyapı üzerine inşa edilmişken, ProSpy’ın faaliyetleri 2024’te başladı. Sonuçlar, atakların uzun vadeli planlama ile yürütüldüğünü gösteriyor.

Casus yazılımlar, aygıt yine başlatılsa bile çalışmaya devam etmek için Android’in sistem servislerini berbata kullanıyor. AlarmManager ile kapanan süreçleri tekrar tetikliyor, önde çalışan servisleri taklit ederek sistemin önceliğini elde ediyor ve böylelikle art planda kesintisiz çalışıyor ve şahsî bilgileri çalmaya devam ediyor. Tıpkı vakitte aygıt açıldığında otomatik olarak başlatılarak kalıcı bir varlık sağlıyor.

Alınacak Tedbir ve Uyarılar

Uzmanlar, uydurma uygulamaların oluşturduğu tehlikelere karşı kullanıcıları uyarıyor. Android kullanıcıları, sadece Google Play Store üzere resmi mağazalardan uygulama indirmeli. Geliştiricilerin resmi internet siteleri üzerinden yapılan yüklemeler de inançlı kabul ediliyor.

Kullanıcıların Play Protect özelliğini açık tutması, bilinmeyen kaynaklardan APK yüklememesi ve aygıtlarında kuşkulu hareketler fark ettiklerinde güvenlik yazılımlarını kullanmaları tavsiye ediliyor. Ayrıyeten kurumsal aygıtlarda güvenlik siyasetlerinin sıkı biçimde uygulanması gerektiği de vurgulanıyor.