İranlı tehdit aktörü olarak bilinen yerli yavru kedi FurBall olarak bilinen bir Android kötü amaçlı yazılımının güncellenmiş bir çeşidini dağıtmak için bir çeviri uygulaması gibi görünen yeni bir mobil kampanyayla ilişkilendirildi.
ESET araştırmacısı Lukas Stefanko, “Haziran 2021’den bu yana, tercüme edilmiş makaleler, dergiler ve kitaplar sağlayan bir İran web sitesinin taklitçisi aracılığıyla bir çeviri uygulaması olarak dağıtılıyor.”
Slovak siber güvenlik firması, güncellemelerin önceki sürümlerle aynı gözetim işlevselliğini korurken, güvenlik çözümlerinin algılamasından kaçınmak için tasarlandığını da sözlerine ekledi.
APT-C-50 olarak da adlandırılan Yerli Yavru Kedi, daha önce güvenliği ihlal edilmiş mobil cihazlardan hassas bilgileri toplamak amacıyla ilgili kişileri hedef aldığı belirlenen İranlı bir tehdit faaliyet kümesidir. En az 2016’dan beri aktif olduğu biliniyor.
Trend Micro tarafından 2019’da gerçekleştirilen bir taktik analiz, Yerli Yavru Kedi’nin başka bir grupla potansiyel bağlantılarını ortaya koyuyor.
APT-C-50, öncelikle “iç muhalifler, muhalefet güçleri, IŞİD savunucuları, İran’daki Kürt azınlık ve daha fazlası dahil olmak üzere İran rejiminin istikrarına tehdit oluşturabilecek İran vatandaşlarını” seçti.
Grup tarafından yürütülen kampanyalar, geleneksel olarak, İran blog siteleri, Telegram kanalları ve SMS mesajları dahil olmak üzere farklı saldırı vektörleri aracılığıyla potansiyel kurbanları sahte bir uygulama yüklemeye çekmeye dayanıyordu.
Kullanılan yöntemden bağımsız olarak, uygulamalar, KidLogger’ın cihazlardan kişisel verileri toplama ve sızdırma yetenekleriyle gelen özelleştirilmiş bir sürümü olan Furball adlı İsrailli siber güvenlik şirketi tarafından kodlanan bir kötü amaçlı yazılım parçasını sunmak için bir kanal görevi görür.
ESET tarafından ortaya çıkarılan kampanyanın en son yinelemesi, bir çeviri hizmeti kisvesi altında çalışan uygulamayı içeriyor. Kötü niyetli davranışları gizlemek için kullanılan önceki kapaklar, güvenlik, haberler, oyunlar ve duvar kağıdı uygulamaları gibi farklı kategorileri kapsar.
En son sürümle ilgili dikkate değer olan şey, temel casus yazılım işlevleri korunurken, yapıtın kişilere erişmek için yalnızca bir izin istemesi ve SMS mesajlarına, cihaz konumuna, arama günlüklerine ve pano verilerine erişmesini sınırlamasıdır.
Stefanko, “Nedeni radarın altında kalma amacı olabilir; öte yandan, bunun kısa mesajlarla gerçekleştirilen bir mızraklı oltalama saldırısının sadece önceki aşaması olduğuna işaret edebileceğini düşünüyoruz.”
Bu dezavantaja rağmen, Furball kötü amaçlı yazılımı, mevcut haliyle, kişileri, harici depolamadaki dosyaları, yüklü uygulamaların listesini, temel sistem meta verilerini ve senkronize edilmiş kullanıcı hesaplarını toplamasına izin veren uzak bir sunucudan komutlar alabilir.
Etkin uygulama işlevselliğindeki azalmaya rağmen, örnek ayrıca güvenlik engellerini aşma girişimi olarak görülen bir temel kod gizleme şeması uygulamak için öne çıkıyor.
Stefanko, “Yerli Kedi Yavrusu kampanyası, İran vatandaşlarını hedef almak için taklit web sitelerini kullanan hala aktiftir.” Dedi. “Operatörün hedefi, tam özellikli Android casus yazılımını dağıtmaktan daha hafif bir varyanta doğru biraz değişti.”
0 Yorumlar