Saldırganlar İtalya ve Kazakistan’da iOS ve Android cihazları casus yazılımlarla vurdu



AppleInsider, hedef kitlesi tarafından desteklenir ve uygun satın alma işlemlerinden bir Amazon Associate ve bağlı ortak olarak komisyon kazanabilir. Bu bağlı ortaklıklar, editoryal içeriğimizi etkilemez.

Google, Avrupa’daki Android ve iOS kullanıcılarının, kişisel bilgilerini cihazdan çalacak kötü amaçlı bir uygulama yüklemeleri için kandırıldığını ortaya çıkardı.

A rapor yayınlandı Perşembe günü Google tarafından, Project Zero kampanyasının bir parçası olarak ticari casus yazılım satıcılarına yönelik devam eden araştırmalarından ayrıntılı bulgular elde edildi.

Şirket, saldırılardan sorumlu olası taraf olarak İtalyan firması RCS Labs’ı seçti. Google, RCS Labs’in İtalya ve Kazakistan’daki kullanıcıları “arabadan indirme saldırısı” olarak kabul edilen bir şekilde hedeflemek için “bir taktik kombinasyonu” kullandığını iddia ediyor.

Bir mesaj, kurbanın hesabına veya hizmetlerine erişimini kaybettiğini iddia eder ve hizmeti geri yüklemek için sağlanan bağlantı aracılığıyla oturum açması gerekir. Hain aktörler tarafından gönderilen yükleme bağlantıları, internet servis sağlayıcısı veya mesajlaşma uygulaması bildirimleri gibi görünüyordu.

Kurban bağlantılı siteye bağlandığında, onlara gerçek logolar ve hesabı sıfırlamak için gerçekçi istemler gösterildi ve kötü amaçlı uygulamayı indirme bağlantısı resmi görünen düğmeler ve simgelerin arkasına gizlendi. Örneğin, yüklenen kampanyada kullanılan uygulamanın birçok çeşidinden birinin simgesi olarak bir Samsung logosu vardı ve bu, sahte bir Samsung web sitesine işaret ediyordu.

Saldırının Android sürümü bir .apk dosyası kullandı. Android uygulamaları Google Play Store dışından ücretsiz olarak yüklenebildiğinden, aktörlerin mağdurları özel bir sertifika yüklemeye ikna etmesine gerek yoktu.

Android cihazlara sahip kurbanlar daha sonra saldırganlara ağ durumlarına erişim, kullanıcı kimlik bilgileri, iletişim bilgileri, sağlanan harici depolama cihazlarının okunması gibi birçok izin verildi.

iOS kullanan kurbanlara daha sonra bir kurumsal sertifika yüklemeleri talimatı verildi. Kullanıcı süreci takip ettiyse, uygun şekilde imzalanmış sertifika, kötü amaçlı uygulamanın, yan yüklemeden sonra App Store korumalarından kaçınmasına izin verdi.

Kötü amaçlı uygulamanın iOS sürümü, cihazdan bilgi çıkarmak için altı farklı sistem istismarı kullandı ve uygulama, her biri belirli bir istismar kullanan birden çok parçaya bölündü. Bu açıklardan dördü, sisteme tam kök erişiminin kilidini açmak için doğrulama katmanını atlamak için jailbreak yapan topluluk tarafından yazılmıştır.

iOS korumalı alanı nedeniyle, çıkarılan veri miktarı kapsam olarak sınırlıydı. WhatsApp mesajlaşma uygulamasının yerel veritabanı gibi veriler kurbanlardan elde edilirken, sandboxing, uygulamanın doğrudan arayüz oluşturmasını ve diğer uygulamaların bilgilerini doğrudan çalmasını engelledi.

Google, bu kampanyanın Android kurbanları için uyarılar yayınladı. Şirket ayrıca Google Play Protect’te değişiklikler yaptı ve saldırganlar tarafından kullanılan belirli Firebase projelerini devre dışı bıraktı. Apple’ın sertifikayı geçersiz kılıp kılmadığı belli değil.

Apple kullanıcıları uzun zamandır kötü niyetli aktörlerin hedefi olmuştur. Ocak 2022’de hükümet ajanları, demokrasi yanlısı aktivistlerin Mac cihazlarına kötü amaçlı yazılım bulaştırmayı başardı. Daha yakın bir zamanda Nisan ayında, bir kurbanın iCloud hesabına yapılan bir kimlik avı saldırısı, 650.000 dolar değerinde varlığın çalınmasına neden oldu.

iOS veya iPadOS cihazlarının sahipleri, kuruluşlarının dışına sertifika yüklemezlerse bu tür saldırılara karşı korunurlar. Ayrıca, herhangi bir kullanıcının, mesajlaşma servisleri aracılığıyla yapılan bir harekete geçirici mesaj hakkında herhangi bir sorusu olması durumunda, mesajdan önce belirlenmiş açık iletişim yöntemlerini kullanarak bir şirketle doğrudan iletişime geçmesi de iyi bir uygulamadır.



Kaynak : https://appleinsider.com/articles/22/06/23/attackers-hit-ios-and-android-devices-with-spyware-in-italy-and-kazakhstan?utm_medium=rss

Yorum yapın