Lookout araştırmacısı Kristin Del Rosso tarafından ortaya çıkarılan Android uygulamasının adı Covid19. Uygulamanın kullanıcılar arasında nasıl yaygınlık kazandığı henüz belli olmasa da (Google Play mağazası aracılığıyla olmadığı biliniyor), uygulamanın altyapısının dili ve lokasyonu dikkate alındığında Suriyelilere yönelik hazırlanmış olduğu düşünülüyor. Suriye’nin şu ana kadar çok az teyit edilmiş vakası olsa da kasıtlı olarak yanlış bildirim yapılması ve halihazırda iç savaşın parçaladığı bir millet üzerinde yıkıcı etkisi olma potansiyeli konusunda endişeler gündeme geldi.
Uygulama nasıl çalışıyor ve nereden geldi?
Casus yazılımın kurulumundan önce kullanıcıdan sözde bir dijital termometre indirmesi isteniyor. Termometre tabi ki sahte. Kullanıcı ekranda parmağını basılı tuttuğunda vücut sıcaklığının 35o olduğu konusunda bilgilendiriliyor. Bu arada, AndoServer olarak bilinen bir kötü amaçlı yazılım da kurbanı gizlice gözetliyor.
Del Rosso, Forbes’a yaptığı açıklamada uygulamanın büyük bir olasılıkla devlet destekli, Esad yanlısı bir hack grubu olan Suriye Elektronik Ordusu (SEA) tarafından geliştirildiğini söyledi. SEA, 2010’ların ortalarında, önemli kuruluşların ve bireylerin sosyal medya hesaplarını hacklemesiyle tanınmaya başlamıştı. Kurbanlardan biri Forbes idi ve iddia edilen bazı üyeleri FBI’ın En Çok Arananlar listesinde bulunuyor.
Del Rosso, COVID-19 uygulamasının kodunun, ekip tarafından daha önce gerçekleştirilen bir saldırı ile ilişkilendirilen Allosh lakaplı bir kişinin “kasıtsız izlerini” içerdiğini ortaya çıkardı. Del Rosso, uygulamanın Suriye ile bağlantılı olduğuna ilişkin bir iz daha buldu. Buna göre, uygulamayı barındırmak için kullanılan bilgisayarlar ve sunucular, devlete bağlı Suriye Telekomünikasyon Kurumu’nun (STE) sahip olduğu bir İSS olan Tarassul İnternet Servis Sağlayıcısı tarafından kontrol edildi. Daha önce SEA ile ilişkilendirilen kötü amaçlı Android WhatsApp güncellemeleri de STE’ye ait IP adreslerinden çalıştırılmıştı.
Del Rosso, geçtiğimiz ay Libya’daki bilgisayar korsanlarının parmağı olduğu düşünülen benzer bir koronavirüs temalı Android zararlı yazılımı keşfetmişti.
Siber Bülten abone listesine kaydolmak için formu doldurunuz