Sahte Mesajlaşma Uygulamalarıyla BAE Kullanıcılarının Verileri Sızdırılıyor

Siber güvenlik firması ESET Research, Birleşik Arap Emirlikleri (BAE) kullanıcılarını hedef alan yeni ve daha önce belgelenmemiş iki Android casus yazılımı kampanyası keşfetti. Bu kampanyalarda, kullanıcıların hassas verilerini çalmak amacıyla Signal ve kullanımdan kaldırılan ToTok gibi meşru mesajlaşma uygulamaları taklit ediliyor.

Keşfedilen Casus Yazılım Aileleri:

ESET’in araştırması, iki yeni casus yazılım ailesini ortaya çıkardı:

1. Android/Spy.ProSpy: Signal uygulaması için "Signal Encryption Plugin" ve ToTok uygulaması için "ToTok Pro" gibi eklenti veya yükseltme kılığına girerek dağıtılıyor.

2. Android/Spy.ToSpy: Doğrudan ToTok uygulamasını taklit ediyor. C&C sunucularının hâlâ aktif olması, ToSpy kampanyalarının devam ettiğini gösteriyor.

Saldırı ve Dağıtım Yöntemi:

• Hedef Kitle: Başta BAE vatandaşları olmak üzere bölgedeki kullanıcılar. Kampanyanın BAE odaklı olduğu, kullanılan ae.net alt dizinli alan adları ile destekleniyor.

• Dağıtım: Kötü amaçlı yazılım içeren uygulamalar resmî uygulama mağazalarında bulunmuyor. Aldatıcı web siteleri ve sosyal mühendislik yoluyla üçüncü taraf kaynaklardan manuel olarak yüklenmesi gerekiyor. Bir dağıtım sitesinin Samsung Galaxy Store'u taklit ettiği tespit edildi.

Sızdırılan Veriler:

Kullanıcı izinlerini aldıktan sonra her iki casus yazılım da arka planda çalışarak şu hassas verileri ve dosyaları çalıyor:

• Cihaz bilgileri

• Kayıtlı SMS mesajları ve kişi listeleri

• Sohbet yedeklemeleri

• Görüntüler, sesler, videolar ve diğer belgeler

Uzmandan Uyarı: "Resmî Mağazalar Dışına Dikkat Edin"

Keşfi yapan ESET araştırmacısı Lukáš Štefanko, kullanıcıları uyararak şunları tavsiye etti:

"Kullanıcılar, resmî olmayan kaynaklardan uygulama indirirken ve bilinmeyen kaynaklardan yüklemeyi etkinleştirirken ayrıca resmî uygulama mağazaları dışındaki uygulamaları veya eklentileri, özellikle güvenilir hizmetleri geliştirdiğini iddia edenleri yüklerken dikkatli olmalıdır."

ESET, ProSpy kampanyasını Haziran 2025’te keşfetti (muhtemelen 2024’ten beri aktif), ToSpy kampanyasının ise muhtemelen 2022 ortasında başladığını tahmin ediyor.