Dünyayı etkisi altına alan Covid-19 salgını ile mücadele sürerken ortaya ilginç bir iddia atıldı. İddianın sahibi siber güvenlik şirketi Lookout’ta görev yapan araştırmacılar. Araştırmacılara göre Suriye hükümeti halihazırda kuşatma altındaki halkını casus yazılım aracılığıyla gözetliyor. Araştırmacılar Google Android kullanıcılarını cep telefonu kameraları ve mikrofonları ile gözetlenmesini sağlayan bir casus yazılım keşfetti.
Lookout araştırmacısı Kristin Del Rosso tarafından ortaya çıkarılan Android uygulamasının adı Covid19. Uygulamanın kullanıcılar arasında nasıl yaygınlık kazandığı henüz belli olmasa da (Google Play mağazası aracılığıyla olmadığı biliniyor), uygulamanın altyapısının dili ve lokasyonu dikkate alındığında Suriyelilere yönelik hazırlanmış olduğu düşünülüyor. Suriye’nin şu ana kadar çok az teyit edilmiş vakası olsa da kasıtlı olarak yanlış bildirim yapılması ve halihazırda iç savaşın parçaladığı bir millet üzerinde yıkıcı etkisi olma potansiyeli konusunda endişeler gündeme geldi.
Uygulama nasıl çalışıyor ve nereden geldi?
Casus yazılımın kurulumundan önce kullanıcıdan sözde bir dijital termometre indirmesi isteniyor. Termometre tabi ki sahte. Kullanıcı ekranda parmağını basılı tuttuğunda vücut sıcaklığının 35o olduğu konusunda bilgilendiriliyor. Bu arada, AndoServer olarak bilinen bir kötü amaçlı yazılım da kurbanı gizlice gözetliyor.
Del Rosso, Forbes’a yaptığı açıklamada uygulamanın büyük bir olasılıkla devlet destekli, Esad yanlısı bir hack grubu olan Suriye Elektronik Ordusu (SEA) tarafından geliştirildiğini söyledi. SEA, 2010’ların ortalarında, önemli kuruluşların ve bireylerin sosyal medya hesaplarını hacklemesiyle tanınmaya başlamıştı. Kurbanlardan biri Forbes idi ve iddia edilen bazı üyeleri FBI’ın En Çok Arananlar listesinde bulunuyor.
Del Rosso, COVID-19 uygulamasının kodunun, ekip tarafından daha önce gerçekleştirilen bir saldırı ile ilişkilendirilen Allosh lakaplı bir kişinin “kasıtsız izlerini” içerdiğini ortaya çıkardı. Del Rosso, uygulamanın Suriye ile bağlantılı olduğuna ilişkin bir iz daha buldu. Buna göre, uygulamayı barındırmak için kullanılan bilgisayarlar ve sunucular, devlete bağlı Suriye Telekomünikasyon Kurumu’nun (STE) sahip olduğu bir İSS olan Tarassul İnternet Servis Sağlayıcısı tarafından kontrol edildi. Daha önce SEA ile ilişkilendirilen kötü amaçlı Android WhatsApp güncellemeleri de STE’ye ait IP adreslerinden çalıştırılmıştı.
Del Rosso, geçtiğimiz ay Libya’daki bilgisayar korsanlarının parmağı olduğu düşünülen benzer bir koronavirüs temalı Android zararlı yazılımı keşfetmişti.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
