Google’ın Tehdit Tahlili Kümesi (TAG) tarafından yayınlanan araştırmaya nazaran, gelişmiş bir casus yazılım kampanyası, kullanıcıları makûs gayeli uygulamaları indirmeleri için internet servis sağlayıcılarını kullanıyor. Hermit isimli casus yazılımı İtalyan casus yazılım şirketi RCS Labs ile ilişkilendirilmiş durumda.
Casus yazılım birtakım devletler tarafından da destekleniyor
Güvenlik araştırma kümesi Lookout daha evvelki bulgularında bu durumu ortaya koymuştu. Lookout, RCS Labs’ın Pegasus casus yazılımlarının gerisindeki makus şöhretli şirket NSO Group ile tıpkı iş kolunda olduğunu ve çeşitli devlet kurumlarına ticari casus yazılım sattığını tez ediyordu.
Lookout’taki araştırmacılar, Hermit’in Kazakistan hükümeti ve İtalyan makamları tarafından hali hazırda kullanıldığına inanıyor. Bu bulgular doğrultusunda Google, her iki ülkede de mağdurları tespit etmiş durumda. Şirket birebir vakitte etkilenen kullanıcıları bilgilendireceğini söyledi.
Casus yazılım, kendisini meşru bir kaynak olarak gizlemekte epeyce başarılı. Çoklukla bir taşınabilir operatör yahut iletileşme uygulaması formunu alan uygulama hem Android‘e hem de iPhone‘lara bulaşabiliyor. Google’ın siber güvenlik araştırmacıları, kimi saldırganların, planlarını ilerletmek için kurbanın taşınabilir bilgilerini kapatmak amacıyla internet servis sağlayıcısı üzere çalıştıklarını ortaya koydu.
Casus yazılımcılar daha sonra SMS üzerinden kurbanın mobil operatörü üzere davranarak internet temaslarını tekrar kurmaları için kendi programlarını indirmeleri istikametinde talimat veriyor. Saldırganlar öteki taraftan, korsan yazılımlarını iletileşme uygulamaları üzere göstererek de telefonlara ulaşmayı başarıyor.
Lookout ve TAG araştırmacıları, Hermit içeren uygulamaların hiçbir vakit Google Play veya Apple App Store üzerinden kullanıma sunulmadığını söylüyor. Lakin saldırganlar, Apple’ın Developer Enterprise Programına kaydolarak virüslü uygulamalarını iOS‘ta dağıtabildikleri ortaya çıktı.
Böylece casus yazılım, App Store‘un standart inceleme sürecini atlatıp, ‘bir iOS aygıtındaki tüm iOS kod imzalama ihtiyaçlarını karşılayan’ bir sertifika alabildiği belirlendi. Apple bu gelişmelerin akabinde bu yazılımla ilgili tüm hesap ve sertifikaları iptal ettiğini duyurdu.
Google, etkilenen kullanıcıları bilgilendirmenin yanı sıra tüm kullanıcılara Google Play Protect uygulamasının güncellenmesini de öneriyor. Pekala siz bu mevzu hakkında ne düşünüyorsunuz? Görüşlerinizi yorumlar kısmında bizimle paylaşabilirsiniz.
