Araştırmacılar, Android, Windows ve macOS’u vuran ve bu iki iletileşme uygulamalarına saklanan yeni bir ziyanlı konusunda uyarıyor.
SpaceCobra olarak bilinen bir bilgisayar korsanlığı grubu, hedef aygıttan pek çok hassas bilgiyi çalabilen bir anlık iletileşme uygulaması geliştirdi. Araştırmacılar uygulamayı indirmekte zorlandığı için, tehdit aktörü tam olarak kimi hedeflemek istediğini biliyori görünüyor.
ESET siber güvenlik araştırmacıları kısa bir süre önce BingeChat ve Chatico isimli iki iletileşme uygulamasının aslında bir uzaktan erişim trojan’i olan GravityRAT’ı çalıştırdığını keşfetti. Bu RAT, arama günlükleri, kişi listesi, SMS mesajları, aygıt pozisyonu, temel aygıt bilgileri ve fotoğraflar, fotoğraflar ve dokümanlar için muhakkak uzantılara sahip evraklar dahil olmak üzere güvenliği ihlal edilmiş uç noktalardan çok sayıda hassas bilgiyi sızdırma yeteneğine sahip.
Bu iki uygulamayı GravityRAT’i taşıyan diğer uygulamalardan ayıran temel şey, bunların WhatsApp yedeklerini çalabilmesi ve evrakları silmek için komutlar alabilmesi.
Dağıtım formu farklı
Bu tehlikeyi daha dasiz kılan özelliği, kötü maksatlı yazılımın dağıtılma hali. Uygulamalar, uygulama mağazalarında bulunamıyor ve Google Play’e hiçbir zaman yüklenmemiş gözüküyor. Bunun yerine, sadece özel hazırlanmış bir web sitesini ziyaret ederek ve bir hesap açarak indirilebiliyor. Bu durum çok özel gözükmeyebilir, lakin ESET araştırmacıları siteyi ziyaret ettiklerinde kayıtların “kapatılmış” olmasından ötürü bir hesap açamadılar. Bu da, araştırmacıları, kümenin muhtemelen makul bir pozisyon ya da IP adresini hedefleme konusunda çok kesin bir hedefe sahip olduğu sonucuna varmalarına sebep oldu.
ESET araştırmacısı Lukáš Štefenko, “En mümkün durum, operatörlerin, sırf belli bir kurbanın, muhtemelen belli bir IP adresi, coğrafik pozisyon, özel URL ile ya da makul bir zaman çerçevesi içinde ziyaret etmesini beklediklerinde kaydı açmaları” olduğunu söylüyor ve ekliyor: “BingeChat uygulamasını web sitesi aracılığıyla indiremesek de VirusTotal’da bir dağıtım URL’si bulabildik.”
Kurbanların çoğu Hindistan’da
Bununla birlikte, kurbanların birçoklarının Hindistan’da yaşadığı görülüyor. SpaceCobra olarak tanımlanan saldırganlar Pakistan kökenli gözüküyor. Araştırmacılar, kampanyanın büyük olasılıkla geçtiğimiz yıl Ağustos ayından bu yana faal olduğunu ve ikisinden birinin (BingeChat) hala faal olduğunu söyledi. Açık kaynaklı OMEMO Instant Messenger uygulamasını temel alan kötü maksatlı uygulama, Windows, macOS ve Android işletim sistemlerini etkileyebiliyor.