Siber güvenlik alanında dünya lideri ESET, Signal ve ToTok kullanıcılarını hedef alan iki farklı Android casus yazılım kampanyasını ortaya çıkardı. Bu kampanyaların özellikle Birleşik Arap Emirlikleri (BAE) vatandaşlarını hedef aldığı ve aldatıcı web siteleri ile sosyal mühendislik yöntemleri kullanılarak kötü amaçlı yazılım dağıttığı belirlendi.

ESET'in araştırması, daha önce belgelenmemiş iki casus yazılım ailesinin keşfedilmesini sağladı: Android/Spy.ProSpy ve Android/Spy.ToSpy. ProSpy, Signal ve ToTok uygulamalarına yükseltme veya eklenti gibi görünürken, ToSpy ise ToTok uygulamasını taklit ediyor. C&C sunucularının hâlâ aktif olması, ToSpy kampanyalarının devam ettiğini gösteriyor.

ESET araştırmacısı Lukáš Štefanko, "Casus yazılım içeren uygulamalar resmi uygulama mağazalarında bulunmamaktadır. Kullanıcıların bu uygulamaları üçüncü taraf web sitelerinden manuel olarak yüklemeleri gerekiyor. Özellikle ToSpy kötü amaçlı yazılımını dağıtan web sitelerinden biri, Samsung Galaxy Store'u taklit ederek kullanıcıları ToTok'un kötü amaçlı bir sürümünü indirmeye yönlendiriyor. Yüklendikten sonra her iki casus yazılım da cihazda kalıcı hale geliyor ve hassas verileri sürekli olarak sızdırıyor. BAE'de tespit edilen bu faaliyetler, bölgesel odaklı stratejik bir operasyonu işaret ediyor." dedi.

ESET Research, ProSpy kampanyasını Haziran 2025'te keşfetti ve bu kampanyanın muhtemelen 2024'ten beri aktif olduğunu belirtti. ProSpy, Signal ve ToTok'u taklit eden üç aldatıcı web sitesi üzerinden dağıtılıyor. Bu siteler, Signal Encryption Plugin ve ToTok Pro adı altında kötü amaçlı APK dosyaları sunuyor. Kullanılan alan adının "ae.net" ile bitmesi, kampanyanın BAE'deki kullanıcıları hedef aldığını gösteriyor.

Soruşturma sırasında ESET, aynı kod tabanını kullanan ve ToTok Pro adı altında ToTok uygulamasının geliştirilmiş sürümü gibi görünen beş kötü amaçlı APK daha keşfetti. ToTok, BAE'de geliştirilen ve gözetim endişeleri nedeniyle Aralık 2019'da Google Play ve Apple App Store'dan kaldırılan tartışmalı bir mesajlaşma uygulaması. Kullanıcıların çoğunluğu BAE'de olduğu için ToTok Pro'nun bu bölgedeki kullanıcıları hedeflediği düşünülüyor.

Her iki kötü amaçlı uygulama da çalıştırıldığında cihazdaki kişilere, SMS mesajlarına ve dosyalara erişim izni talep ediyor. İzin verilirse ProSpy arka planda cihazdan veri sızdırmaya başlıyor. Signal Encryption Plugin ise cihaz bilgileri, SMS mesajları, kişi listesi ve sohbet yedekleri, ses, video ve görüntü dosyalarını dışarı aktarabiliyor.

Haziran 2025'te ESET telemetri sistemleri, BAE'de bulunan bir cihazdan yayılan ve daha önce belgelenmemiş başka bir Android casus yazılım ailesi olan Android/Spy.ToSpy'u tespit etti. Araştırma, ToTok uygulamasını taklit eden dört aldatıcı web sitesi ortaya çıkardı. Bu casus yazılım, kullanıcıların kişileri, sohbet yedeklerini, görüntüleri, belgeleri, ses ve video dosyalarını toplayıp dışarı aktarabiliyor. ESET bulguları, ToSpy kampanyasının muhtemelen 2022 ortasından beri devam ettiğini gösteriyor.

Lukáš Štefanko, "Kullanıcılar, resmi olmayan kaynaklardan uygulama indirirken ve bilinmeyen kaynaklardan yüklemeyi etkinleştirirken çok dikkatli olmalıdır. Özellikle resmi uygulama mağazaları dışındaki uygulamaları veya eklentileri yüklerken, güvenilir hizmetler gibi görünen sahte uygulamalara karşı tedbirli olunmalıdır." uyarısında bulundu.

Kaynak: (BYZHA) Beyaz Haber Ajansı