Kaspersky araştırmacıları Android cihazlarını maksat alan gelişmiş bir akın tespit etti. Hücumun OceanLotus isimli gelişmiş kalıcı taarruz kümesiyle ilişkili olabileceği kestirim ediliyor. PhantomLance ismi verilen atak en az 2015’ten bu yana devam ediyor. Kurbanların olgularını ele geçirmek için tasarlanan karmaşık bir casus yazılımının çeşitli sürümlerinin ve akıllı dağıtım taktiklerinin kullanıldığı hücum Google Play’deki tatbikler aracılığıyla bile yayılıyor.
Temmuz 2019’da üçüncü taraf güvenlik araştırmacıları Google Play’de yeni bir casus yazılımı keşfettiklerini raporladı. Gelişmişlik seviyesi ve davranışları resmi tatbik mağazalarına yüklenen başka Truva atlarından çok farklı olan bu yazılım Kaspersky’nin dikkatini çekti. Kaspersky araştırmacıları bu zararlı yazılıma çok benzeyen farklı bir örneği Google Play’de tespit etti. Zararlı yazılım geliştiricileri pratiklerini yasal mağazalara yüklemeyi başardıktan sonra, indirme sayısını ve bununla birlikte kurban sayısını artırmak için pratiğin tanıtımına büyük yatırım yapar. Gelgelelim bu yeni keşfedilen zararlı pratiklerde durum bu türlü değildi. Geliştiricilerin uygulamayı geniş kitlelere yaymakla çok ilgilenmediği görüldü. Araştırmacılar için bu durum maksatlı bir APT saldırısının göstergesi oldu. Devam eden araştırmalarda bu zararlı yazılımın misal kodlar taşıyan çok sayıda sürümü keşfedildi.
Sürümlerin hepsinde temel hedef haber toplamaktı. Temel işlev çok geniş olmasa da konum, arama kayıtları, muhabere haberleri ve SMS erişiminin yanı sıra şurası pratikler, cihazın modeli ve işletim sistemi ile ilgili malumatların toplandığı görüldü. Başkaca tehdit kümesinin farklı zararlı yazılımlar indirip kurabildiği böylelikle saldırıyı cihazın Android sürümüne ve sahip olduğu pratiklere nazaran değiştirebildiği anlaşıldı. Tehdit öbeği bu sayede uygulamayı çok gerekli olmayan özelliklerle doldurmak zorunda kalmadan istediği haberleri toplayabiliyordu.
Süren araştırmalarda PhantomLance’in Google Play ve APKpure’un da dahil olduğu birçok platform ve pazar bölgesinde varlık gösterdiği tespit edildi. Pratiklerin yasal üzere görünmesi için saldırganlar bir Github hesabı açarak uydurma bir geliştirici profili oluşturdu. Pazar mahallerinin filtre mekanizmalarından kaçınmak içinse tatbikin pazar konumuna yüklenen birinci sürümüne hiçbir zararlı işlev eklenmiyordu. Lakin sonra gelen güncellemelerle pratiklere zararlı işlevler ve bunları çalıştıracak kodlar eklendi.
Kaspersky Security Network’ün elde ettiği datalara nazaran 2016’dan bu yana Hindistan, Vietnam, Bangladeş ve Endonezya’da 300’den çokça Android cihazına olursuz giriş denemesi yapıldı. Tespit istatistiklerine ikincil sızıntılar dahil olsa da Vietnam atak teşebbüsünün en çok rastlandığı devlet oldu. Taarruzda kullanılan birtakım zararlı pratiklerin şahsi olarak Vietnamca olduğu da görüldü.
Kaspersky’nin farklı zararlı kodlar arasındaki benzerlikleri bulmaya yarayan aracı sayesinde araştırmacılar, PhantomLance’teki kodların en yüzde 20’sinin OceanLotus isimli öbeğe atfedilen eski bir Android akınıyla benzerlik gösterdiğini belirledi. 2013’ten beri etkin olan OceanLotus kümesi çoklukla Güneydoğu Asya’daki kurbanları maksat alıyor. Ayrıyeten OpenLotus’un Windows ve MacOS’teki faaliyetleriyle de değerli benzerlikler tespit edildi. Kaspersky araştırmacıları buradan hareketle PhantomLance saldırısının OceanLotus ile kontaklı olabileceğini lisana getirdi.
Kaspersky, keşfettiği tüm örnekleri yasal pratik mağazalarına bildirdi. Google, bu pratiklerin Google Play’den kaldırıldığını doğruladı.
Kaspersky GReAT Güvenlik Araştırmacısı Alexey Firsh, “Bu taarruz, gelişmiş tehdit öbeklerinin tespit edilmemek için ne kadar karmaşık tedbirler aldığının büyük bir örneği. PhantomLance beş yıldan çokça müddettir devam ediyor ve tehdit kümeleri pratik mağazalarının filtrelerini kullandıkları gelişmiş usullerle tekraren delmeyi başardı. Ana sızma noktası olarak mobil platformların kullanıldığı örnekler giderek sıklaşıyor. Birçok tehdit öbeği bu ortamı gaye almaya başladı. Bu gelişmeler tehdit istihbaratı ve destekleyici hizmetlerin ne kadar kıymetli olduğunun altını çiziyor. Bu hizmetler sayesinde tehdit kümelerini takip edip eski hücumlardaki benzerlikleri tespit etmek mümkün oluyor.” dedi.
PhantomLance akınıyla ilgili raporun tamamını Securelist sahifesinde bulabilirsiniz.
Şahıslara ve kurumlara yönelik amaçlı taarruzların kurbanı olmamak için Kaspersky’nin şu tekliflerini uygulayabilirsiniz:
Tüketiciler şunları yapabilir:
- Birçok farklı tehdide karşı kapsamlı himaye sağlayan, Kaspersky Security Cloud üzere muteber güvenlik tahlilleri kullanın. Bu tahlilde konum alan Kaspersky Secure Connection özelliği, çevrim içi faaliyetlerinizin takip edilmesini önlüyor, IP adresinizi ve konumunuzu gizliyor ve datalarınızı inançlı bir VPN tüneli üzerinden aktarıyor.
Şirketler ise şu tedbirleri alabilir:
- Uç nokta güvenlik çözümünüzün Kaspersky Security for Mobile üzere bir mobil cihaz himaye sistemine sahip olduğundan emin olun. Bu sistemin kurumsal cihazlara sadece yasal pratiklerin kurulmasına müsaade verme, root süreci yapılan cihazları engelleme yahut bu cihazlardaki kurumsal doneleri kaldırma üzere özelliklere sahip olmasına itina gösterin.
- Güvenlik merkezi ekiplerinizin en yeni tehdit istihbaratı datalarına ulaşmasını sağlayın. Böylelikle tehdit kümeleri tarafından kullanılan yeni araçlar, teknikler ve taktikler hakkında şimdiki habere sahip olabilirler.
- Uç nokta seviyesinde tespit, soruşturma ve vakalara devrinde müdahale için Kaspersky Endpoint Detection and Response üzere bir uç nokta tespit ve müdahale tahlili kullanın.
- Kesinlikle bulunması gereken uç nokta himaye tahlillerinin yanı sıra gelişmiş tehditleri birinci aşamada ağ seviyesindeyken tespit eden, Kaspersky Anti Targeted Attack Platform üzere kurumsal sınıf bir güvenlik tahlili kullanın.
Yorum Ekle
Lütfen yorum için giriş yap veya üye ol