ESET Research bir çeviri uygulaması üzere görünen FurBall casus yazılımının İran vatandaşlarını amaç aldığını tespit Bağdat Caddesi travesti etti
ESET araştırmacıları yakın vakitte APT C 50 kümesi tarafından düzenlenen Domestic Kitten taarruzunda kullanılan Android berbat hedefli yazılımı FurBall’un yeni bir sürümünü tespit etti
Domestic Kitten saldırısının İran vatandaşlarını Bağdat Caddesi travestileri gaye alan taşınabilir gözetleme operasyonları yürüttüğü biliniyor ve bu yeni FurBall versiyonunun da amacı birebir Haziran 2021’den bu yana makale mecmua ve kitap çevirileri sunan bir İran web sitesi kendini Travesti Bağdat Caddesi taklit eden bir çeviri uygulaması olarak dağıtılıyor 2016 yılından beri görülen Domestic Kitten saldırısı devam ediyor
FurBall’un yeni sürümü evvelki sürümlerle birebir nezaret fonksiyonuna sahip Bu varyantın fonksiyonelliği değişmediğinden bu güncellemenin temel maksadı güvenlik yazılımı tarafından algılanmayı önlemek üzere görünüyor Fakat bu değişikliklerin ESET yazılımı üzerinde hiçbir tesiri yok ESET eserleri bu tehdidi Android Spy Agent BWS olarak algılıyor Bu ataklar başladığından beri bu operasyonda kullanılan Android makûs gayeli yazılımı olan FurBall KidLogger ticari takip yazılımı aracı temel alınarak oluşturuluyor
Analiz edilen örnek bireylere erişim sağlamak için tek bir müsaadesiz geçiş istiyor ESET uzmanları bunun ayrıyeten metin iletileri yoluyla gerçekleştirilen bir maksada yönelik kimlik avı saldırısının evvelki basamağı olabileceğini de düşünüyor Tehdit aktörü uygulama müsaadelerini genişletirse etkilenen telefonlardan SMS bildirileri aygıt pozisyonu kayıtlı telefon görüşmeleri ve çok daha fazla data tipini de sızdırabilir
Kötü maksatlı yazılımı keşfeden ESET araştırmacısı Lukáš Štefanko bu hususta şunları söyledi Bu makus emelli Android uygulaması İngilizce’den Farsça’ya çevrilmiş makaleler ve kitaplar sunan yasal bir siteyi downloadmaghaleh com taklit eden düzmece bir web sitesi aracılığıyla dağıtılıyor Yasal web sitesindeki bağlantı bilgilerine dayanarak bu hizmeti İran’dan sağlıyorlar Bu nedenle taklitçi web sitesinin İran vatandaşlarını maksat aldığını düşünüyoruz Taklitçi Farsça Uygulamayı indir yazan bir düğmeye tıkladıktan sonra indirilen bir Android uygulaması sunar Düğmede Google Play logosu bulunuyor lakin bu uygulama Google Play mağazasında mevcut değil direkt saldırganın sunucusundan indiriliyor
Kaynak BYZHA Beyaz Haber Ajansı
