Siber güvenlik alanında faaliyet gösteren Eset, Signal ve ToTok kullanıcılarını hedef alan iki Android casus yazılım kampanyası ortaya çıkardı. Birleşik Arap Emirlikleri (BAE) vatandaşlarını hedef aldığı düşünülen bu kampanyalar, aldatıcı web siteleri ve sosyal mühendislik yoluyla kötü amaçlı yazılım dağıtıyor.
Eset’in araştırması, daha önce belgelenmemiş iki casus yazılım ailesinin keşfedilmesine yol açtı: Android/Spy.ProSpy, Signal uygulaması ve tartışmalı ve kullanımdan kaldırılan ToTok uygulaması için yükseltme veya eklenti gibi davranırken Android/Spy.ToSpy ise ToTok uygulamasını taklit ediyor. C&C sunucularının hâlâ aktif olması, ToSpy kampanyalarının devam ettiğini gösteriyor.
Keşfi yapan Eset araştırmacısı Lukáš Štefanko konu ile ilgili yaptığı açıklamada şunları söyledi:
“Casus yazılım içeren hiçbir uygulama resmî uygulama mağazalarında mevcut değildi. Her ikisinin de meşru hizmetler gibi görünen üçüncü taraf web sitelerinden manuel olarak yüklenmesi gerekiyor. Özellikle, ToSpy kötü amaçlı yazılım ailesini dağıtan web sitelerinden biri Samsung Galaxy Store’u taklit ederek kullanıcıları ToTok uygulamasının kötü amaçlı bir sürümünü manuel olarak indirip yüklemeye yönlendirdi. Yükledikten sonra, her iki casus yazılım ailesi de kalıcılıklarını koruyor ve güvenliği ihlal edilmiş Android cihazlardan hassas verileri ve dosyaları sürekli olarak sızdırıyor. BAE’de teyit edilen tespitler ve kimlik avı ve sahte uygulama mağazalarının kullanımı, stratejik dağıtım mekanizmalarına sahip bölgesel odaklı operasyonları akla getiriyor.”
Eset Research, ProSpy kampanyasını Haziran 2025’te keşfetti ve bu kampanya muhtemelen 2024’ten beri devam ediyor. ProSpy, iletişim platformları Signal ve ToTok’u taklit etmek için tasarlanmış üç aldatıcı web sitesi aracılığıyla dağıtılıyor. Bu siteler, Signal Encryption Plugin ve ToTok Pro kılığına girmiş, iyileştirme gibi görünen kötü amaçlı APK’lar sunuyor. ae.net alt dizesiyle biten bir alan adının kullanılması, kampanyanın Birleşik Arap Emirlikleri’nde ikamet eden kişileri hedeflediğini düşündürüyor çünkü AE, BAE’nin iki harfli ülke kodu.
Soruşturma sırasında Eset, aynı casus yazılım kod tabanını kullanan ve ToTok Pro adı altında ToTok mesajlaşma uygulamasının geliştirilmiş bir sürümü gibi görünen beş adet daha kötü amaçlı APK keşfetti. Birleşik Arap Emirlikleri’nde geliştirilen tartışmalı ücretsiz mesajlaşma ve arama uygulaması ToTok, gözetim endişeleri nedeniyle Aralık 2019’da Google Play ve Apple’ın App Store’undan kaldırıldı. Kullanıcı tabanının çoğunlukla BAE’de olduğu göz önüne alındığında ToTok Pro’nun bu bölgedeki kullanıcıları hedef alıyor olması muhtemel çünkü bu kullanıcılar kendi bölgelerindeki resmî olmayan kaynaklardan uygulamayı indirme eğiliminde olabilirler.
Çalıştırıldığında her iki kötü amaçlı uygulama da cihaza kaydedilmiş kişilere, SMS mesajlarına ve dosyalara erişim izni istiyor. Bu izinler verilirse ProSpy arka planda veri sızdırmaya başlıyor. Signal Encryption Plugin, cihaz bilgilerini, kaydedilmiş SMS mesajlarını ve kişi listesini çıkarır ve sohbet yedeklemeleri, ses, video ve görüntüler gibi diğer dosyaları sızdırır.
Haziran 2025’te, Eset telemetri sistemleri, BAE’de bulunan bir cihazdan kaynaklanan ve aktif olarak yayılan, daha önce belgelenmemiş başka bir Android casus yazılım ailesini tespit etti. Eset, bu kötü amaçlı yazılımı Android/Spy.ToSpy olarak etiketledi. Daha sonra yapılan araştırma, ToTok uygulamasını taklit eden dört aldatıcı dağıtım web sitesini ortaya çıkardı. Uygulamanın bölgesel popülaritesi ve tehdit aktörleri tarafından kullanılan taklit taktikleri göz önüne alındığında bu casus yazılım kampanyasının birincil hedeflerinin BAE veya çevresindeki bölgelerdeki kullanıcılar olduğu tahmin edilebilir. Casus yazılım arka planda şu verileri toplayabilir ve dışarı aktarabilir: Kullanıcı kişileri, sohbet yedeklemeleri, görüntüler, belgeler, ses ve video gibi cihaz bilgi dosyaları. Eset’in bulguları, ToSpy kampanyasının muhtemelen 2022 ortasında başladığını göstermektedir.
Lukáš Štefanko şu tavsiyede bulundu:
“Kullanıcılar, resmî olmayan kaynaklardan uygulama indirirken ve bilinmeyen kaynaklardan yüklemeyi etkinleştirirken ayrıca resmî uygulama mağazaları dışındaki uygulamaları veya eklentileri, özellikle güvenilir hizmetleri geliştirdiğini iddia edenleri yüklerken dikkatli olmalıdır”
Kaynak : 