ProSpy Casus Yazılım
Siber güvenlik araştırmacıları, Signal ve ToTok gibi popüler mesajlaşma uygulamalarını taklit ederek özellikle Birleşik Arap Emirlikleri'ndeki (BAE) kullanıcıları hedef alan ProSpy adlı karmaşık bir Android casus yazılım saldırısını ortaya çıkardı. Saldırı, kullanıcıları resmi uygulama mağazalarını atlatarak kötü amaçlı yazılım yüklemeye kandırmak için aldatıcı taktiklere dayanıyor.
İçindekiler
ProSpy Nasıl Yayılır?
ProSpy kötü amaçlı yazılımı, sahte web siteleri ve sosyal mühendislik teknikleri aracılığıyla dağıtılarak, kullanıcıları ele geçirilmiş APK dosyalarını manuel olarak indirip yüklemeye teşvik eder. Bu uygulamalar yasal uygulama mağazalarında bulunmadığından, üçüncü taraf kaynaklardan manuel kurulum zorunludur.
İlk olarak Haziran 2025'te tespit edilen ve 2024'ten beri aktif olduğu düşünülen kampanya, Signal ve ToTok gibi görünen web sitelerini kullanarak tuzaklı APK dosyaları sunuyor. Bu dosyalar, Signal Şifreleme Eklentisi ve ToTok Pro gibi isimler de dahil olmak üzere yanıltıcı bir şekilde yükseltmeler olarak sunuluyor.
Tarihsel Bağlam: ToTok Neden Hedef Oldu?
ToTok'un yem olarak kullanılması özellikle stratejiktir. ToTok, BAE hükümeti için bir gözetleme aracı olarak işlev gördüğü ve kullanıcıların konuşmalarını, konum verilerini ve diğer kişisel bilgilerini topladığı iddiaları nedeniyle Aralık 2019'da Google Play ve Apple App Store'dan kaldırılmıştır.
ToTok geliştiricileri bu iddiaları sürekli olarak reddetti ve uygulamanın kaldırılmasını piyasa manipülasyonu olarak nitelendirip yazılımın kullanıcılarını gözetlediğini iddia etti.
Kötü Amaçlı Uygulamaların Yetenekleri
ProSpy uygulamaları, aşağıdakilere erişim de dahil olmak üzere kapsamlı cihaz izinleri talep edecek şekilde tasarlanmıştır:
- İletişim
- SMS mesajları
- Cihazda depolanan dosyalar
Casus yazılım, cihaz bilgileri, sohbet yedekleri ve yüklü uygulama listeleri de dahil olmak üzere hassas verileri sızdırabilir. Araştırmacılar ayrıca, aynı anda bölgede faaliyet gösteren başka bir Android casus yazılım ailesinin varlığını da tespit etti ve bu da koordineli bir hedefleme çabasına işaret ediyor.
Kötü Amaçlı Faaliyetleri Gizlemek İçin Aldatıcı Yönlendirme
Kampanya, uygulamaların meşruiyetini güçlendiren akıllı yönlendirme taktikleri içeriyor:
ToTok Pro
- Uygulamada kullanıcıları resmi ToTok indirme sayfasına yönlendiren bir 'DEVAM' butonu bulunuyor.
- Kötü amaçlı uygulamanın gelecekteki lansmanları meşru ToTok uygulamasını açarak casus yazılımı etkili bir şekilde gizler.
- Kullanıcılar cihazlarında şüpheli olabilecek iki uygulama (ToTok ve ToTok Pro) görebilirler.
Sinyal Şifreleme Eklentisi
- Bu uygulama, kullanıcıları resmi Signal web sitesine yönlendiren bir 'ETKİNLEŞTİR' butonu içeriyor.
- İzinler verildikten sonra sahte uygulama simgesi Google Play Hizmetleri olarak gizleniyor ve bu da varlığını daha da gizliyor.
- Uygulamadan bağımsız olarak, veri sızdırma işlemi, kullanıcıların yönlendirme düğmeleriyle etkileşime girmesinden önce sessizce gerçekleşir ve bu da kişileri, mesajları, dosyaları ve diğer hassas bilgileri tehlikeye atar.
Bölgesel Etki ve Güvenlik Sonuçları
ProSpy kampanyası, resmi olmayan kaynaklardan manuel olarak uygulama yüklemenin risklerini ve BAE'deki kullanıcıları hedef alan devam eden tehditleri vurguluyor. Bu tür kampanyalar, siber suçluların hem tarihi tartışmaları hem de popüler uygulamalara olan güveni, cihazlara sızmak ve verileri çalmak için nasıl kullandıklarını gösteriyor.
