İSS’ler Siber Saldırganların Akıllı Telefonlara Casus Yazılım Yüklemesine Yardımcı Oluyor

Google Tehdit Analizi Grubu, son derece gelişmiş Hermit casus yazılımıyla ilgili bulgularını yayımladı. Rapor yazarları Benoit Sevens ve Clement Lecigne, bir İtalyan casus yazılım sağlayıcısı olan RCS Labs’in, ticari olarak mevcut gözetim araçlarını kullanarak Kazakistan ve İtalya’daki iOS ve Android akıllı telefonlarına Hermit casus yazılımını dağıtmak için birkaç İnternet Servis Sağlayıcısından (ISS) destek aldığını bildirdi.

Araştırmacılar, temel olarak internetten kullanıcının isteği dışında yazılım indirilmesine dayanan bu yöntemin, tehdit aktörlerinin bir cihazda kapsamlı izinler almak için her zaman güvenlik açıklarına ihtiyaç duymadıklarının göstergesi olduğunu belirtiyor.

Saldırı senaryoları

Saldırganlar, İSS’lerin desteğiyle kurbanlarının internet bağlantısını kesiyor, bazı durumlarda ise hedefin İSS’si mobil veri bağlantısını devre dışı bırakıyor. Daha sonra kurbanlardan, URL içeren bir SMS yoluyla tekrar çevrimiçi olmak için kötü amaçlı bir uygulama yüklemeleri ve veri bağlantısını sürdürmesi isteniyor…

Saldırı, aktör olarak İSS’leri de içerdiği için bu uygulamalar yasal mobil operatör uygulamaları olarak gizleniyor. Saldırganlar, hedefin İSS’ini doğrudan etkileyemediği senaryolarda casus yazılımı mesajlaşma uygulamaları kılığında uygulamalara yerleştiriyorlar.

Daha sonra kurbanlar, askıya alınan sosyal medyalarını (Facebook ve Instagram) ve WhatsApp hesaplarını kurtarma sözü verilen sahte bir destek sayfasına yönlendiriliyor. Her ne kadar sosyal medya bağlantıları kullanıcının resmi uygulamaları yüklemesine izin verse de WhatsApp bağlantısı, kurbanları “WhatsApp uygulamasının sahte bir sürüme” yönlendiriyor.

Google’ın Tehdit Analizi Grubu tarafından yayınlanan bir blog gönderisine göre, bu kötü amaçlı uygulamalar Google Play ve App Store’da mevcut değildi. Tehdit aktörleri, uygulamaları kurumsal sertifika ile imzalayarak yükledi.

Modüler bir özellik setine sahip olan Hermit, konum, kişiler, arama kayıtları ve SMS’ler dahil olmak üzere akıllı telefonlardan hassas verileri çalabiliyor. Kötü amaçlı yazılımın modülerliği özelleştirilebilir olmasını sağladığı için onu daha tehlikeli yapıyor.

Yazılım, cihaza yüklendikten sonra erişilebilirlik hizmetleri izinlerini kötüye kullanmanın yanı sıra ses kaydedebiliyor, telefon görüşmeleri yapabiliyor ve yönlendirebiliyor. Ancak araştırmacılar, bu saldırılara dahil olan RCS Labs istemcilerini veya hedeflerini belirtmedi. RCS Labs şu anda Google tarafından izlenen 30 casus yazılım sağlayıcısı arasında yer alıyor.