Yeni Tehdit: Sahte Sitelerle Yayılmaya Çalışılan SpyNote Zararlısı
Siber güvenlik araştırmacıları, tehdit aktörlerinin yeni kayıt edilen alan adlarında sahte Google Play sayfaları oluşturarak, Android cihazlara SpyNote (diğer adıyla SpyMax) adlı uzak erişim trojanını yaymaya çalıştığını tespit etti. Bu siteler, özellikle Chrome gibi popüler uygulamaları taklit ederek kullanıcıları kandırmayı amaçlıyor.
DomainTools Investigations (DTI) ekibi, bu kampanyalarda İngilizce ve Çince’nin bir arada kullanıldığını, ayrıca kötü amaçlı kodlarda Çince yorumlar bulunduğunu belirtti. SpyNote, erişilebilirlik hizmetlerini kötüye kullanarak cihazlardan hassas veri çalma, kamera ve mikrofonu kontrol etme gibi gelişmiş yeteneklere sahip.
Zimperium tarafından yapılan analiz, SpyNote’un Gigabud zararlısıyla benzerlik gösterdiğini ortaya koydu. Gigabud, “AltınFabrika” kod adlı Çince konuşan tehdit aktörlerine atfediliyor.
DTI, sahte sitelerin kullanıcıları bir APK dosyasını indirmeye yönlendirdiğini; bu dosyanın, cihazı ele geçirmeye yönelik ikinci bir yükleme gerçekleştirdiğini bildirdi. Zararlı, cihazda geniş yetkiler elde ederek SMS, rehber, çağrı kayıtları, konum gibi verilere erişebiliyor.
Öte yandan, 2024 yılında Lookout tarafından 4 milyon sosyal mühendislik saldırısı ve 427 bin kötü amaçlı uygulama tespit edildi. İlginç bir şekilde, bu yıl ilk kez iOS cihazları Android’den iki kat daha fazla saldırıya uğradı.
BadBazaar ve MOONSHINE adlı diğer zararlılar da benzer şekilde mobil kullanıcıları hedef alıyor. Bu yazılımlar, özellikle Tibetli, Tayvanlı ve Uygur topluluklarını hedef alan gözetim kampanyalarında kullanılıyor. APT15 adlı Çin bağlantılı tehdit grubu, BadBazaar ile ilişkilendiriliyor.
Son olarak, İsveç’te bir Uygur vatandaşı olan Dilshat Reshit, ülkedeki diğer Uygurları gözetlemekle suçlanarak tutuklandı. Reshit, Dünya Uygur Kongresi’nin Çince sözcüsü olarak görev yapıyordu.
Diğer yazılarımız için buradan ulaşabilirsiniz.
Leave a Comment