Casus yazılım kampanyası, kullanıcıların WhatsApp üzerinden sohbet başlatmasına olanak tanıyan bir sohbet platformu gibi görünen kötü amaçlı bir uygulama kullanıyor. Romantik maskesinin altında, ESET’in GhostChat adını verdiği kötü amaçlı uygulamanın asıl amacı, kurbanın verilerini ele geçirmek. Aynı tehdit aktörü, kurbanların bilgisayarlarının ele geçirilmesine yol açan ClickFix saldırısı ve kurbanların WhatsApp hesaplarına erişim sağlayan WhatsApp cihaz bağlama saldırısı da dâhil olmak üzere daha geniş bir casusluk operasyonu yürütüyor gibi görünüyor. Böylece gözetleme kapsamını genişletiyor. Bu bağlantılı saldırılar, Pakistan hükümet kuruluşlarını taklit eden web sitelerini yem olarak kullandı. Kurbanlar, GhostChat’i bilinmeyen kaynaklardan edinmiş ve manuel kurulum gerçekleştirmiş; bu uygulama Google Play’de yer almıyor ve varsayılan olarak etkinleştirilen Google Play Protect, bu uygulamaya karşı koruma sağlıyor.
Kampanyayı keşfeden ESET araştırmacısı Lukáš Štefanko şöyle dedi:
“Bu kampanya, benzer planlarda daha önce görmediğimiz bir aldatma yöntemi kullanıyor. GhostChat’teki sahte kadın profilleri, potansiyel kurbanlara kilitli olarak sunuluyor ve bunlara erişmek için şifreler gerekiyor. Ancak şifreler uygulamada sabit olarak kodlandığından bu sadece potansiyel kurbanlara özel erişim izlenimi yaratmayı amaçlayan bir sosyal mühendislik taktiği. Araştırmamız, Pakistan’daki kullanıcılara yönelik, son derece hedefli ve çok yönlü bir casusluk kampanyasını ortaya çıkardı.”
Uygulama, meşru bir arkadaşlık uygulamasının simgesini kullanıyor ancak orijinal uygulamanın işlevselliğinden yoksun ve bunun yerine mobil cihazlarda casusluk yapmak için bir yem ve araç görevi görüyor. Giriş yaptıktan sonra, kurbanlara 14 kadın profili sunuluyor; her profil, Pakistan (+92) ülke koduna sahip belirli bir WhatsApp numarasına bağlı. Yerel numaraların kullanılması, profillerin Pakistan’da yaşayan gerçek kişiler olduğu yanılsamasını pekiştirerek dolandırıcılığın inandırıcılığını artırıyor. Doğru kodu girdikten sonra, uygulama kullanıcıyı WhatsApp’a yönlendirerek atanan numara ile bir sohbet başlatıyor – bu numara muhtemelen tehdit aktörü tarafından işletiliyor.
Kurban uygulamayı kullanırken ve hatta oturum açmadan önce, GhostChat casus yazılımı arka planda çalışmaya başlar, cihazdaki etkinlikleri sessizce izler ve hassas verileri bir C&C sunucusuna aktarır. İlk veri aktarımının ötesinde, GhostChat aktif casusluk faaliyetlerinde bulunur: Yeni oluşturulan görüntüleri izlemek için bir içerik gözlemcisi kurar ve görüntüler ortaya çıktıkça bunları yükler. Ayrıca her beş dakikada bir yeni belgeleri tarayan periyodik bir görev planlayarak sürekli gözetim ve veri toplama sağlar.
Kampanya, ClickFix tabanlı kötü amaçlı yazılım dağıtımı ve WhatsApp hesap ele geçirme tekniklerini içeren daha geniş bir altyapıyla da bağlantılı. Bu operasyonlar, sahte web sitelerini, ulusal yetkililerin kimliğine bürünmeyi ve aldatıcı, QR kodu tabanlı cihaz bağlantılarını kullanarak hem masaüstü hem de mobil platformları tehlikeye atar. ClickFix, kullanıcıları görünüşte meşru talimatları izleyerek cihazlarında kötü amaçlı kodu manuel olarak çalıştırmaya yönlendiren bir sosyal mühendislik tekniği.
ClickFix saldırısı yoluyla masaüstü hedeflemenin yanı sıra WhatsApp kullanıcılarını hedefleyen mobil odaklı bir operasyonda kötü amaçlı bir etki alanı kullanıldı. Kurbanlar, Android cihazlarını veya iPhone’larını WhatsApp Web veya Desktop’a bağlamak için bir QR kodunu tarayarak Pakistan Savunma Bakanlığı’nın bir kanalı gibi görünen sözde bir topluluğa katılmaya ikna edildi. GhostPairing olarak bilinen bu teknik, saldırganların kurbanların sohbet geçmişine ve kişilerine erişim sağlamasına, hesap sahipleriyle aynı düzeyde görünürlük ve kontrol elde etmesine ve böylece özel iletişimlerini etkili bir şekilde tehlikeye atmasına olanak tanır.
Kaynak : 