btbilgi

Siber suçlular her daim yeni yöntemler geliştirerek modern siber güvenlik sistemlerinden kaçmaya çalışıyorlar. Bu yöntemlere, Temmuz 2019’da güvenlik araştırmacıları tarafından Google Play’de keşfedilen yeni bir saldırı türü olan PhantomLance eklenmiş durumda. Gelişmişlik düzeyi ve davranışları resmi uygulama mağazalarına yüklenen diğer Truva atlarından çok farklı olduğu belirtilen saldırı hakkında ayrıntılı raporlar yayımlanıyor.

Bu saldırı vektörünün ‘OceanLotus’ adlı gelişmiş kalıcı saldırı (APT) grubuyla bağlantılı olabileceği tahmin edilmekte. Köklerinin 2015’e kadar geri gittiği düşünülen saldırı, kurbanların verilerini ele geçirmek için tasarlanan karmaşık bir casus yazılımının çeşitli sürümlerini ve akıllı dağıtım taktiklerini kullanmakta. Android cihazlarını hedef alan PhantomLance saldırısında kullanılan kötü niyetli yazılımlarda temel amacın kulanıcılar hakkında bilgi toplamak olduğu aktarılmış.

Cihazlara kurulan uygulamaların konum, arama kayıtları, iletişim bilgileri ve SMS erişiminin yanı sıra cihazın modeli ve işletim sistemi ile ilgili bilgileri de toplamakta olduğu Kaspersky tarafından raporlanmış. Saldırının arkasındaki tehdit grubunun başka zararlı yazılımlar indirip kurabildiği, böylece saldırıyı cihazın Android sürümüne ve sahip olduğu uygulamalara göre değiştirebildiği de keşfedilmiş. Suç grubu bu sayede uygulamayı çok gerekli olmayan özelliklerle doldurmak zorunda kalmıyor ve istediği bilgileri kolayca toplayabiliyor.

PhantomLance: Android tabanlı gelişmiş saldırı vektörü

Yapılan araştırmalarda PhantomLance saldırılarının Google Play ve APKpure’un da dahil olduğu birçok platform ve pazar yerinde varlık gösterdiği tespit edilmiş. Saldırganlar bir resmi Github yazılım geliştirici hesabı açarak, kötü niyetli uygulamaların yasal gibi görünmesini sağlamışlar. Ayrıca online uygulama mağazalarının filtre mekanizmalarından kaçınmak için, uygulamanın mağazaya yüklenen ilk sürümüne hiçbir zararlı işlev eklenmiyormuş. Sonradan gelen güncellemeler sayesinde, kullanıcıların cihazlarındaki uygulamalara zararlı işlevler ve bunları çalıştıracak kodlar eklenmekteymiş.

Kaspersky Security Network’ün elde ettiği verilere göre 2016’dan bu yana Hindistan, Vietnam, Bangladeş ve Endonezya’da 300’den fazla Android cihazına izinsiz giriş denemesi yapılmış. Tespit istatistiklerine ikincil sızıntılar dahil olsa da, Vietnam saldırı teşebbüsünün en çok rastlandığı ülke olarak rapor ediliyor. Saldırıda kullanılan bazı zararlı uygulamaların özel olarak Vietnamca olduğu da bulgular arasında. Güvenlik firması keşfettiği tüm PhantomLance yazılımlarını yasal uygulama mağazalarına bildirdiğini, Google’ın da bu uygulamaların Google Play’den kaldırıldığını doğruladığını aktarmakta.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.