SpaceCobra olarak bilinen bir bilgisayar korsanlığı kümesi, maksat aygıttan pek çok hassas bilgiyi çalabilen bir anlık iletileşme uygulaması geliştirdi. Araştırmacılar uygulamayı indirmekte zorlandığı için, tehdit aktörü tam olarak kimi hedeflemek istediğini biliyor üzere görünüyor.
ESET siber güvenlik araştırmacıları kısa bir mühlet evvel BingeChat ve Chatico isimli iki iletileşme uygulamasının aslında bir uzaktan erişim trojan’i olan GravityRAT’ı çalıştırdığını keşfetti. Bu RAT, arama günlükleri, kişi listesi, SMS iletileri, aygıt pozisyonu, temel aygıt bilgileri ve fotoğraflar, fotoğraflar ve evraklar için muhakkak uzantılara sahip belgeler dahil olmak üzere güvenliği ihlal edilmiş uç noktalardan çok sayıda hassas bilgiyi sızdırma yeteneğine sahip.
Bu iki uygulamayı GravityRAT’i taşıyan öbür uygulamalardan ayıran temel şey, bunların WhatsApp yedeklerini çalabilmesi ve evrakları silmek için komutlar alabilmesi.
Dağıtım formu farklı
Bu tehlikeyi daha da eşsiz kılan özelliği, makus emelli yazılımın dağıtılma biçimi. Uygulamalar, uygulama mağazalarında bulunamıyor ve Google Play’e hiçbir vakit yüklenmemiş üzere gözüküyor. Bunun yerine, sadece özel hazırlanmış bir web sitesini ziyaret ederek ve bir hesap açarak indirilebiliyor. Bu durum çok özel üzere gözükmeyebilir, lakin ESET araştırmacıları siteyi ziyaret ettiklerinde kayıtların “kapatılmış” olmasından ötürü bir hesap açamadılar. Bu da, araştırmacıları, kümenin muhtemelen muhakkak bir pozisyon yahut IP adresini hedefleme konusunda çok kesin bir amaca sahip olduğu sonucuna varmalarına sebep oldu.
ESET araştırmacısı Lukáš Štefenko, “En muhtemel durum, operatörlerin, sırf makul bir kurbanın, muhtemelen belli bir IP adresi, coğrafik pozisyon, özel URL ile yahut belli bir vakit çerçevesi içinde ziyaret etmesini beklediklerinde kaydı açmaları” olduğunu söylüyor ve ekliyor: “BingeChat uygulamasını web sitesi aracılığıyla indiremesek de VirusTotal’da bir dağıtım URL’si bulabildik.”
Kurbanların birden fazla Hindistan’da
Bununla birlikte, kurbanların birçoklarının Hindistan’da yaşadığı görülüyor. SpaceCobra olarak tanımlanan saldırganlar Pakistan kökenli üzere gözüküyor. Araştırmacılar, kampanyanın büyük olasılıkla geçtiğimiz yıl Ağustos ayından bu yana faal olduğunu ve ikisinden birinin (BingeChat) hala etkin olduğunu söyledi. Açık kaynaklı OMEMO Instant Messenger uygulamasını temel alan berbat emelli uygulama, Windows, macOS ve Android işletim sistemlerini etkileyebiliyor.
