Siber güvenlik firması Trend Micro’ya bağlı araştırmacılar, Earth Empusa grubu tarafından Tibet, Türkiye ve Tayvan’daki Uygurlardan hassas bilgi toplamak için kullanılan yeni bir Android casus yazılım türü belirlediklerini öne sürdü.
Araştırmacılar, ActionSpy olarak adlandırılan daha önce belgelenmemiş bu kötü amaçlı yazılım türünü ilk olarak Nisan 2020’de bulduklarını ancak yazılımın geçmişinin 2017’ye kadar uzandığını belirtti. Ayrıca yayınladıkları yeni bir raporda, “2020’nin ilk çeyreğinde Earth Empusa’nın kapsamını Tayvan’ı da içerecek şekilde genişletmeden önce, Tibet ve Türkiye’deki kullanıcıları hedefleyen etkinliklerini gözlemledik” ifadelerini kullandı.
Kolay Erişim
EARTH EMPUSA KİMLERİ NASIL HEDEF ALIYOR?
Evil Eye veya Poison Camp olarak da bilinen Earth Empusa, Çin ile bağlantılarından şüphelenilen bir hack grubu olarak biliniyor. Grubun Tibet’teki Uygurları hedefleyen bir geçmişi var. Kasım 2018 ve Mayıs 2019 arasında Earth Empusa, Uygurlu STK yöneticilerine ve aktivistlere casus yazılım içeren WhatsApp mesajları gönderdi.
Araştırmacılar, grubun casus yazılımı dağıtmak için Dünya Uygur Kongresi web sitesinden haber sayfalarını taklit eden sahte bir web sitesi kurduğunu belirledi. Bazı yasal ancak güvenliği ihlal edilmiş web siteleri, bilgisayar korsanları tarafından mağdurları hedef almak için de kullanıldı.
Nisan ayında, kullanıcıların Tibet’teki Android kullanıcıları arasında oldukça popüler olan “Ekran” adlı bir Uygur video uygulamasını indirmelerini öneren bir web sitesi keşfedildi. Gerçekte ise bilgisayar korsanları web sitesi sayfasına siteler arası komut dosyası oluşturma (BeEF) ve hedef cihazda ScanBox çerçevesini dağıtmalarını sağlayan iki komut dosyası enjekte etmişlerdi.
ScanBox, bilgisayar korsanlarının sistemi etkilemeden ziyaretçinin sistemi hakkında bilgi toplamasına olanak sağlarken, BeEF ise web tarayıcısına odaklanan bir sızma testi aracıdır.
ActionSpy ÇOK SAYIDA MODÜLÜ DESTEKLİYOR
ActionSpy, bilgisayar korsanlarının, cihaz IMEI’si, kullanıcı telefon numarası ve kişiler de dahil olmak üzere güvenliği ihlal edilmiş cihazlardan gizli bilgi toplamasına olanak tanıyan çok sayıda modülü destekliyor. Modüllerinden biri, cihazdan iletişim bilgileri, arama geçmişi, cihaz konumu ve SMS mesajları topluyor. Başka bir modül, bilgisayar korsanlarının farklı anlık mesajlaşma uygulamalarından sohbet geçmişi toplamasına olanak tanıyor. Casus yazılım ayrıca ekran görüntüsü alıp, kamerayla fotoğraf çekebiliyor ve bir cihazın Wi-Fi’ye bağlanmasını veya bağlantısını kesmesini sağlayabiliyor.
GÜVENİLİR MAĞAZALARDAN UYGULAMALAR İNDİRİN
Araştırmacılar, casus yazılımın bir bellek çöp temizleme servisi gibi görünerek “Kullanıcılardan Erişilebilirlik hizmetini açmasını” istediğini belirtiyor. “Kullanıcı Erişilebilirlik hizmeti” etkinleştirdiğinde, ActionSpy cihazdaki pek çok veriye erişebiliyor. Riski azaltmak için, kullanıcıların cihazlarını güncel tutmaları ve yalnızca Google Play Store veya App Store gibi güvenilir mağazalardan uygulamalar yüklemeleri öneriliyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz