Lookout’taki siber güvenlik araştırmacıları, Kuzey Kore ile bağlantılı KoSpy isimli sofistike bir Android casus yazılımını keşfetti. Bu zararlı yazılım, Google Play Store’a sızmayı başardı. Malware, SarCruft (APT37) adlı Kuzey Koreli bir hacker grubuna atfediliyor ve kendisini meşru uygulamalar olarak kamufle ediyor. Hem Korece hem de İngilizce konuşan kullanıcıları hedef alıyor ve hassas verileri çalmasına rağmen aylarca fark edilmeden kalabiliyor.
KoSpy’nin Cihazları Enfekte Etme Yöntemi
Araştırmacılara göre, KoSpy kendisini telefon üzerinde meşru bir yardımcı uygulama olarak tanıtıyor. Lookout, zararlı yazılımın kendisini 휴대폰 관리자 (Telefon Yöneticisi), File Manager, 스마트 관리자 (Akıllı Yöneticisi), 카카오 보안 (Kakao Güvenliği) ve Software Update Utility isimleriyle gizleyen en az beş farklı versiyonunu buldu.
Bu meşru isimlerle kullanıcıları kandırarak uygulamayı yüklemeye ikna ediyor. Yüklemenin ardından, KoSpy gizli bir şekilde beklemeye başlıyor. Genel olarak zararlı yazılımlar hemen casusluk faaliyetlerine başlarken, KoSpy bu davranışı sergilemiyor. Araştırmalar, KoSpy’nin meşru platformlardan güncellenmiş Komut ve Kontrol (C2) adreslerini alarak çalıştığını ortaya koyuyor.
KoSpy’nin Yetenekleri
Aktif hale geldiğinde, KoSpy SMS mesajlarını ve arama kayıtlarını çalabilir. Gerçek zamanlı GPS konumunu takip etme, dosyalara erişme ve düzenleme, ses kaydetme, fotoğraf çekme ve tuş vuruşlarını ve ekran görüntülerini yakalama gibi bir dizi yetenek sunuyor.
Zararlı yazılım, çalınan verileri AES şifrelemesi ile koruyarak, veri aktarımını daha da zorlu hale getiriyor. Ayrıca, saldırganlar uzaktan yeni eklentiler kurarak casusluk yeteneklerini artırabiliyor.
Gelişmiş C2 Sistemi ve Sonuçları
KoSpy’nin, tipik zararlı yazılımlardan daha ileri düzeyde bir C2 sistemi bulunuyor. Asıl zararlı yazılımların C2 adresini yazılımın içine koymasının aksine, KoSpy son C2 adresini Firebase Firestore’dan alarak çalışıyor. Bu durum, saldırganların zararlı trafiği gizlemesine olanak tanıyor, zira Google Firestore’a yapılan isteklerin meşru trafik gibi görünmesini sağlıyor.
Saldırganlar ayrıca, zararlı yazılımı uzaktan kapatma veya yeniden etkinleştirme ve bir adres engellendiğinde yeni C2 adresi değiştirme yeteneğine sahip. Bu durum, KoSpy’nin geleneksel casus yazılımlara kıyasla daha zor durdurulmasını sağlıyor. Google, bu zararlı uygulamaları kaldırmış olsa da, resmi uygulama mağazalarının güvenliği hakkında endişelere yol açıyor. Her zaman, mümkünse uygulamaları doğru ve güvenilir mağazalardan indirmeye özen gösterin. Ayrıca, yorumları kontrol etmeyi ve telefonunuzun en son güvenlik güncellemelerini içerdiğinden emin olmayı unutmayın.