Rus istihbarat kurumu FSB’yi taklit eden sahte antivirüs uygulaması Android cihazları hedef alıyor

Rusya merkezli mobil güvenlik şirketi Dr. Web, Android cihazları hedef alan ve sahte antivirüs uygulamaları şeklinde yayılan yeni bir casus yazılım kampanyası ortaya çıkardı. Android.Backdoor.916.origin adıyla takip edilen zararlı yazılımın bilinen ailelerle bağlantısı olmadığı, sıfırdan geliştirildiği belirtildi.

Dağıtım yöntemleri ve hedefler

Kötü amaçlı yazılım, Rusya Merkez Bankası ve FSB gibi kurumların adlarını kullanarak güvenilir bir antivirüs programı gibi sunuluyor. Kullanıcı arayüzünde yalnızca Rusça dil seçeneğinin bulunması, saldırıların özellikle Rus iş dünyasındaki yöneticileri hedef aldığını gösteriyor.

Sahte antivirüs işlevi

Uygulama, yüklenmesinin ardından bir tarama simülasyonu çalıştırıyor ve %30 oranında sahte virüs bulgusu gösteriyor. Bu şekilde kullanıcının uygulamayı kaldırması engellenmeye çalışılıyor.

Yetkiler ve işlevler

Kurulum sırasında zararlı yazılım, şu yüksek riskli izinleri talep ediyor:

• Konum verilerine erişim
• SMS ve medya dosyaları
• Kamera ve mikrofon kullanımı
• Erişilebilirlik servisleri
• Arka planda sürekli çalışma yetkisi

Uygulama bu izinlerle birlikte komuta-kontrol sunucusuna bağlanarak aşağıdaki işlemleri gerçekleştirebiliyor:

• SMS, rehber, çağrı geçmişi, konum ve fotoğraf hırsızlığı
• Mikrofonu ve kamerayı uzaktan açma, ekran yayını yapma
• Telegram, WhatsApp, Gmail, Chrome ve Yandex gibi uygulamalardan veri sızdırma
• Komut dosyaları çalıştırma ve cihazda kalıcılık sağlama

Dayanıklılık özellikleri

Araştırmacılar, zararlı yazılımın 15 farklı barındırma sağlayıcısı arasında geçiş yapabilecek şekilde tasarlandığını tespit etti. Bu özellik şu an aktif olmasa da, operasyonların uzun vadeli kesintisiz sürdürülmesi için hazırlandığı değerlendiriliyor.

Dr. Web, Android.Backdoor.916.origin zararlısına ilişkin tüm IoC (tehdit göstergeleri) verilerini GitHub üzerinde paylaştı.

Kaynak: Beykozun Sesi