Siber güvenlik uzmanları, Android cihazları hedef alan iki yeni casus yazılımı ortaya çıkardı. ProSpy ve ToSpy adlı zararlı yazılımlar, sahte Signal ve ToTok uygulamaları aracılığıyla yayıldı. Masum görünen eklenti ve güncelleme dosyalarıyla kullanıcıların cihazlarına sızan bu yazılımların, özellikle Orta Doğu bölgesinde yoğun şekilde aktif olduğu tespit edildi.
ProSpy kampanyası, Signal’e aitmiş gibi görünen sahte bir eklentiyle kullanıcıları kandırdı. Kurulumun hemen ardından indirilen paket, cihazın mesaj kayıtları, kişi listesi ve dosyalarına erişim için gerekli izinleri talep etti. Yükleme tamamlandığında kötü amaçlı yazılım arka planda çalışmaya başlayıp kişisel verileri çalındı ve saldırganların kontrolündeki sunuculara iletti.
Google Play Taklit Edildi
Saldırganlar, zararlı yazılımın gizli kalması için aldatıcı yöntemlere başvurdu. Uygulama, ana ekranda Google Play Hizmetleri simgesini taklit ederek kullanıcıların gözünde güvenilir görünüyordu. Simgeye dokunulduğunda ise gerçek Play Hizmetleri penceresi açılarak şüphe çekmesi engellendi. Bu yöntem, kötü yazılımın cihazlarda uzun süre farkedilmeden çalışmasını sağladı.
ToSpy ise sahte ToTok sürümleri üzerinden yayıldı. Kullanıcılar uygulamayı yüklediğinde depolama izni istendi ve hemen ardından belgeler, fotoğraflar, videolar ile sohbet yedekleri yani kişisel verileri çalınarak saldırganların sunucularına aktarıldı.
Uygulama başlatıldığında, arka planda gerçek ToTok uygulaması çalıştırılıyordu. Bu sayede kurbanlar sahte yazılımı fark etmekte zorlanıyordu. Cihazda ToTok yüklü değilse kullanıcılar resmi mağazalara yönlendiriliyor ve uygulamanın indirilmesi sağlanıyordu.
ESET Hileyi Tespit Etti
ESET’in incelemesine göre iki kampanya farklı zamanlarda etkinleştirildi. ToSpy, 2022’de kurulan bir altyapı üzerine inşa edilmişken, ProSpy’ın faaliyetleri 2024’te başladı. Sonuçlar, saldırıların uzun vadeli planlama ile yürütüldüğünü gösteriyor.
Casus yazılımlar, cihaz yeniden başlatılsa bile çalışmaya devam etmek için Android’in sistem servislerini kötüye kullanıyor. AlarmManager ile kapanan işlemleri yeniden tetikliyor, önde çalışan servisleri taklit ederek sistemin önceliğini elde ediyor ve böylece arka planda kesintisiz çalışıyor ve kişisel verileri çalmaya devam ediyor. Aynı zamanda cihaz açıldığında otomatik olarak başlatılarak kalıcı bir varlık sağlıyor.
Alınacak Önlem ve Uyarılar
Uzmanlar, sahte uygulamaların oluşturduğu tehlikelere karşı kullanıcıları uyarıyor. Android kullanıcıları, yalnızca Google Play Store gibi resmi mağazalardan uygulama indirmeli. Geliştiricilerin resmi internet siteleri üzerinden yapılan yüklemeler de güvenli kabul ediliyor.
Kullanıcıların Play Protect özelliğini açık tutması, bilinmeyen kaynaklardan APK yüklememesi ve cihazlarında şüpheli hareketler fark ettiklerinde güvenlik yazılımlarını kullanmaları tavsiye ediliyor. Ayrıca kurumsal cihazlarda güvenlik politikalarının sıkı şekilde uygulanması gerektiği de vurgulanıyor.
