ESET araştırmacıları, Pakistan tarafından yönetilen tartışmalı bir bölge olan Gilgit-Baltistan hakkında haberler veren bölgesel bir haber sitesine yönelik bir su kuyusu saldırısı gibi görünen bir saldırı tespit etti. Hunza News web sitesinin Urduca sürümü, mobil cihazda açıldığında okuyuculara Hunza News Android uygulamasını doğrudan web sitesinden indirme olanağı sunuyor ancak uygulamanın kötü niyetli casusluk yetenekleri var. Daha önce bilinmeyen bu casus yazılıma com.kamran.hunzanews paket adından dolayı Kamran adını verdik. Kamran, Pakistan'da ve Urduca konuşulan diğer bölgelerde yaygın olarak verilen bir isimdir; Gilgit-Baltistan'daki bazı azınlıklar tarafından konuşulan Farsça'da talihli veya talihli anlamına gelir.
Hunza News web sitesinin İngilizce ve Urduca versiyonları vardır; İngilizce mobil sürümü indirilecek herhangi bir uygulama sağlamaz. Ancak mobil cihazlardaki Urduca sürümü Android casus yazılımını indirmeyi sunuyor. Hem İngilizce hem de Urduca masaüstü sürümlerinin aynı zamanda Android casus yazılımını da sunduğunu belirtmekte fayda var; ancak masaüstü işletim sistemleriyle uyumlu değildir. Android kötü amaçlı yazılımıyla ilgili web sitesine ulaştık. Ancak blog yazımız yayınlanmadan önce herhangi bir yanıt alamadık.
Raporun önemli noktaları:
- Kamran adını verdiğimiz Android casus yazılımı, Hunza News web sitesine olası bir su sızıntısı saldırısı yoluyla dağıtıldı.
- Kötü amaçlı yazılım yalnızca Gilgit-Baltistan bölgesindeki Urduca konuşan kullanıcıları hedef alıyor Pakistan tarafından yönetiliyor.
- Kamran casus yazılımı, Hunza News web sitesinin içeriğini görüntüler ve özel kötü amaçlı kod içerir.
- Araştırmamız en az 20 mobil cihazın güvenliğinin ihlal edildiğini gösteriyor.
Kötü amaçlı uygulama başlatıldığında kullanıcıdan çeşitli verilere erişme izinlerini vermesini ister. Kabul edilirse kişiler, takvim etkinlikleri, çağrı kayıtları, konum bilgileri, cihaz dosyaları, SMS mesajları, resimler vb. hakkında veriler toplar. Bu kötü amaçlı uygulama hiçbir zaman Google Play mağazası aracılığıyla sunulmadığından ve adı geçen kimliği belirsiz bir kaynaktan indirildiğinden Google tarafından Bilinmeyen olarak adlandırılan bu uygulamayı yüklemek için kullanıcıdan, bilinmeyen kaynaklardan uygulama yükleme seçeneğini etkinleştirmesi istenir.
Kötü amaçlı uygulama, 7 Ocak 2023 ile 21 Mart 2023 arasında web sitesinde göründü; Kötü amaçlı uygulamanın geliştirici sertifikası 10 Ocak 2023'te yayınlandı. Bu süre zarfında protestolar toprak hakları, vergilendirme kaygıları, uzun süreli elektrik kesintileri ve sübvansiyonlu buğday tedarikindeki düşüş gibi çeşitli nedenlerle Gilgit-Baltistan'da tutuluyordu. Şekil 1'deki haritada gösterilen bölge, 1947'den bu yana Hindistan ile Pakistan arasında ve 1959'dan bu yana Hindistan ile Çin arasında bir anlaşmazlığın konusu olan daha büyük Keşmir bölgesinin kuzey kısmından oluşan Pakistan'ın idari yönetimi altındadır.
Genel Bakış
Hunza News, muhtemelen adını Hunza Bölgesi veya Hunza Vadisi'nden alıyor, konuyla ilgili haberler veren çevrimiçi bir gazetedir. Gilgit-Baltistan bölgesi.
Yaklaşık 1.5 milyon nüfusa sahip bölge, dünya çapındaki en yüksek dağlardan bazılarının varlığıyla ünlüdür ve en önemlisi, saygın "sekiz bin" dağdan (deniz seviyesinden 8,000 metrenin üzerinde zirveye sahip dağlar) beşine ev sahipliği yapmaktadır. K2 ve bu nedenle uluslararası turistler, yürüyüşçüler ve dağcılar tarafından sıklıkla ziyaret edilmektedir. 2023 baharındaki protestolar ve Eylül 2023'te meydana gelen başka protestolar nedeniyle, US ve Kanada bu bölge için seyahat tavsiyeleri yayınladık ve Almanya turistlerin mevcut durum hakkında bilgi sahibi olmaları gerektiğini önerdi.
Gilgit-Baltistan, Çin'in Umman Denizi'ne erişim yoluyla ticaret ve enerji geçişini kolaylaştırmasına olanak tanıyan, Pakistan ile Çin'i birbirine bağlayan tek motorlu yol olan Karakoram Otoyolu nedeniyle de önemli bir kavşaktır. Otoyolun Pakistan kısmı şu anda yeniden inşa ediliyor ve iyileştiriliyor; çabalar hem Pakistan hem de Çin tarafından finanse ediliyor. Otoyol, hava koşulları veya protestolardan kaynaklanan hasarlar nedeniyle sık sık kapatılıyor.
Hunza News web sitesi iki dilde içerik sunmaktadır: İngilizce ve Urduca. Urduca, İngilizcenin yanı sıra Pakistan'da ulusal dil statüsüne sahiptir ve Gilgit-Baltistan'da etnik gruplar arası iletişim için ortak veya köprü dil olarak hizmet vermektedir. Hunza News'in resmi alan adı: hunzanews.net, kayıtlı Mayıs 22 üzerindend, 2017 ve İnternet Arşivi verilerinin de gösterdiği gibi, o zamandan bu yana sürekli olarak çevrimiçi makaleler yayınlıyor hunzanews.net.
2022'den önce bu çevrimiçi gazete başka bir alan adını da kullanıyordu: hunzanews.com, sitenin sayfa şeffaflık bilgilerinde belirtildiği gibi Facebook (bkz. Şekil 2) ve hunzanews.com'un İnternet Arşivi kayıtları, İnternet Arşivi verileri de şunu gösteriyor: hunzanews.com 2013'ten beri haber veriyordu; bu nedenle yaklaşık beş yıldır bu çevrimiçi gazete iki web sitesi aracılığıyla makaleler yayınlıyordu: hunzanews.net ve hunzanews.com. Bu aynı zamanda bu çevrimiçi gazetenin 10 yılı aşkın süredir aktif olduğu ve çevrimiçi okuyucu kitlesi kazandığı anlamına da geliyor.
2015 olarak, hunzanews.com Şekil 3'te gösterildiği gibi Google Play mağazasında mevcut olan meşru bir Android uygulaması sağlamaya başladı. Mevcut verilere dayanarak, bu uygulamanın iki sürümünün yayınlandığını ve her ikisinin de herhangi bir kötü amaçlı işlevsellik içermediğini düşünüyoruz. Bu uygulamaların amacı web sitesi içeriğini okuyuculara kullanıcı dostu bir şekilde sunmaktı.
2022'nin ikinci yarısında yeni web sitesi hunzanews.net Android uygulamasını Google Play'den indirme seçeneğinin kaldırılması da dahil olmak üzere görsel güncellemeler yapıldı. Ayrıca resmi uygulama, muhtemelen en yeni Android işletim sistemleriyle uyumsuzluğu nedeniyle Google Play mağazasından kaldırıldı.
En azından birkaç haftalığına Aralık 2022 kadar Ocak 7th, 2023web sitesi, Şekil 4'te gösterildiği gibi resmi mobil uygulamayı indirme seçeneği sunmuyordu.
İnternet Arşivi kayıtlarına dayanarak, en azından o zamandan bu yana açıkça görülüyor ki Mart 21st, 2023web sitesi, Şekil 5'te gösterildiği gibi, UYGULAMAYI İNDİR düğmesiyle erişilebilen bir Android uygulamasını indirme seçeneğini kullanıcılara yeniden sundu. 7 Ocak arasındaki döneme ait veri yok.th ve 21 Martst, 2023, bu da uygulamanın web sitesinde yeniden yayınlanacağı kesin tarihi belirlememize yardımcı olabilir.
Web sitesinin çeşitli versiyonlarını analiz ederken ilginç bir şeyle karşılaştık: web sitesini bir masaüstü tarayıcıda Hunza News – İngilizce'nin her iki dil versiyonunda görüntülemek (hunzanews.net) veya Urduca (urdu.hunzanews.net) – web sayfasının üst kısmında UYGULAMAYI İNDİR düğmesini belirgin bir şekilde görüntüler. İndirilen uygulama, bir masaüstü makineye yüklenemeyen ve onu tehlikeye atamayan yerel bir Android uygulamasıdır.
Ancak mobil cihazlarda bu düğme yalnızca Urdu dili varyantında görünür (urdu.hunzanews.net), Şekil 6'da gösterildiği gibi.
Yüksek derecede bir güvenle, kötü amaçlı uygulamanın özellikle web sitesine bir Android cihaz aracılığıyla erişen Urduca konuşan kullanıcıları hedef aldığını doğrulayabiliriz. Kötü amaçlı uygulama 2023'ün ilk çeyreğinden beri web sitesinde mevcut.
UYGULAMAYI İNDİR düğmesine tıklamak, şuradan bir indirmeyi tetikler: https://hunzanews[.]net/wp-content/uploads/apk/app-release.apk. Bu kötü amaçlı uygulama hiçbir zaman Google Play Store aracılığıyla sunulmadığı ve bu uygulamayı yüklemek için üçüncü taraf bir siteden indirildiği için, kullanıcıdan bilinmeyen kaynaklardan uygulama yüklemek için varsayılan olmayan Android seçeneğini etkinleştirmesi istenir.
Hunza News olarak adlandırılan kötü amaçlı uygulama, Kamran adını verdiğimiz ve aşağıda Kamran bölümünde incelenen, daha önce bilinmeyen bir casus yazılımdır.
ESET Araştırma, Kamran ile ilgili olarak Hunza News'e ulaştı. Blog yazımız yayınlanmadan önce web sitesinden herhangi bir geri bildirim veya yanıt almadık.
kurban seçimi
Araştırmamızdan elde edilen bulgulara dayanarak, beşi Pakistan'da olmak üzere en az 22 ele geçirilmiş akıllı telefon tespit edebildik.
Kamran
Kamran, bilinen diğer casus yazılımlardan farklı, benzersiz kod bileşimiyle karakterize edilen, daha önce belgelenmemiş bir Android casus yazılımıdır. ESET bu casus yazılımı şu şekilde algılar: Android/Spy.Kamran.
Kamran'ı içeren kötü amaçlı bir uygulamanın yalnızca Hunza News web sitesinden indirilebilen bir sürümünü belirledik. Genel Bakış bölümünde açıklandığı gibi, uygulamanın Hunza News web sitesine yerleştirildiği kesin tarihi belirtemiyoruz. Ancak ilişkili geliştirici sertifikası (SHA-1 parmak izi: DCC1A353A178ABF4F441A5587E15644A388C9D9CAndroid uygulamasını imzalamak için kullanılan ), 10 Ocak'ta yayınlandıth, 2023. Bu tarih, kötü amaçlı uygulamanın oluşturulduğu en erken tarih için bir taban sağlıyor.
Bunun aksine, daha önce Google Play'de mevcut olan Hunza News'in meşru uygulamaları farklı bir geliştirici sertifikasıyla (SHA-1 parmak izi:) imzalanmıştı. BC2B7C4DF3B895BE4C7378D056792664FCEEC591). Bu temiz ve meşru uygulamalar, belirlenen kötü amaçlı uygulamayla hiçbir kod benzerliği göstermemektedir.
Başlatma sırasında Kamran, kullanıcıdan kurbanın cihazında depolanan kişiler, takvim etkinlikleri, çağrı kayıtları, konum bilgileri, cihaz dosyaları, SMS mesajları ve resimler gibi çeşitli verilere erişim için izin vermesini ister. Ayrıca Hunza News sosyal medya hesaplarını ziyaret etme ve içerikleri yüklemek için İngilizce veya Urduca dilini seçme seçenekleri sunan bir kullanıcı arayüzü penceresi de sunar. hunzanews.netŞekil 7'de gösterildiği gibi.
Yukarıda belirtilen izinler verilirse Kamran casus yazılımı, aşağıdakiler de dahil olmak üzere hassas kullanıcı verilerini otomatik olarak toplar:
- SMS mesajları
- kişi listesi
- arama kayıtları
- takvim etkinlikleri
- cihaz konumu
- yüklü uygulamaların listesi
- alınan SMS mesajları
- cihaz bilgisi
- görüntüleri
İlginç bir şekilde Kamran, cihazdaki erişilebilir görüntü dosyalarını (Şekil 8'de gösterildiği gibi) tanımlar, bu görüntülerin dosya yollarını elde eder ve bu verileri bir görüntüler_db Şekil 9'da gösterildiği gibi veritabanı. Bu veritabanı, kötü amaçlı yazılımın dahili deposunda saklanır.
Görüntü dosyaları da dahil olmak üzere tüm veri türleri, sabit kodlu bir komut ve kontrol (C&C) sunucusuna yüklenir. İlginç bir şekilde operatörler, C&C sunucusu olarak bir web platformu olan Firebase'i kullanmayı tercih etti: https://[REDACTED].firebaseio[.]com. Platform bu teknoloji şirketi tarafından sağlandığı için C&C sunucusu Google'a bildirildi.
Kötü amaçlı yazılımın uzaktan kontrol yeteneklerinden yoksun olduğunu unutmamak önemlidir. Sonuç olarak, kullanıcı verileri yalnızca kullanıcı uygulamayı açtığında HTTPS aracılığıyla Firebase C&C sunucusuna aktarılır; uygulama kapatıldığında veri hırsızlığı arka planda çalışamaz. Kamran'ın hangi verilerin sızdırıldığını takip eden bir mekanizması yok, dolayısıyla aynı verileri ve arama kriterlerini karşılayan yeni verileri tekrar tekrar C&C'ye gönderiyor.
Sonuç
Kamran, Gilgit-Baltistan bölgesindeki Urduca konuşan insanları hedef alan, daha önce bilinmeyen bir Android casus yazılımıdır. Araştırmamız, Kamran'ı içeren kötü amaçlı uygulamanın, en az 2023'ten bu yana, muhtemelen Hunza News adlı yerel, çevrimiçi bir gazeteye yapılan bir su kuyusu saldırısı yoluyla dağıtıldığını gösteriyor.
Kamran, diğer Android casus yazılımlarından farklı, benzersiz bir kod tabanı sergileyerek, bunun bilinen herhangi bir gelişmiş kalıcı tehdit (APT) grubuna atfedilmesini önler.
Bu araştırma aynı zamanda uygulamaları yalnızca güvenilir ve resmi kaynaklardan indirmenin önemini yinelemenin önemli olduğunu da gösteriyor.
WeLiveSecurity'de yayınlanan araştırmamızla ilgili herhangi bir sorunuz için lütfen şu adresten bizimle iletişime geçin: tehditintel@eset.com.
ESET Research, özel APT istihbarat raporları ve veri akışları sunar. Bu hizmetle ilgili tüm sorularınız için şu adresi ziyaret edin: ESET Tehdit İstihbaratı gidin.
IOCs
dosyalar
|
SHA-1 |
Paket ismi |
Bulma |
Açıklama |
|
0F0259F288141EDBE4AB2B8032911C69E03817D2 |
com.kamran.hunzanews |
Android/Spy.Kamran.A |
Kamran casus yazılımı. |
ağ
|
IP |
domain |
Hosting sağlayıcısı |
İlk görüş |
- Detaylar |
|
34.120.160[.]131 |
[REDACTED].firebaseio[.]com |
Google LLC |
2023-07-26 |
C&C sunucusu. |
|
191.101.13[.]235 |
hunzahaber[.]net |
Domain.com, LLC |
2017-05-22 |
Dağıtım sitesi. |
MITRE ATT&CK teknikleri
Bu tablo kullanılarak yapılmıştır sürümü 13 MITRE ATT&CK çerçevesinin.
|
taktik |
ID |
Name |
Açıklama |
|
Keşif |
Yazılım Keşfi |
Kamran casus yazılımı yüklü uygulamaların bir listesini alabilir. |
|
|
Dosya ve Dizin Bulma |
Kamran casus yazılımı harici depolamadaki görüntü dosyalarını listeleyebilir. |
||
|
Sistem Bilgisi Keşfi |
Kamran casus yazılımı, cihaz modeli, işletim sistemi sürümü ve ortak sistem bilgileri dahil olmak üzere cihaz hakkında bilgi alabilir. |
||
|
Koleksiyon |
Yerel Sistemden Veriler |
Kamran casus yazılımı bir cihazdaki görüntü dosyalarını sızdırabilir. |
|
|
Konum İzleme |
Kamran casus yazılımı cihazın konumunu izler. |
||
|
Korunan Kullanıcı Verileri: Takvim Girişleri |
Kamran casus yazılımı takvim girişlerini çıkarabilir. |
||
|
Korumalı Kullanıcı Verileri: Çağrı Günlükleri |
Kamran casus yazılımı arama kayıtlarını çıkarabilir. |
||
|
Korunan Kullanıcı Verileri: Kişi Listesi |
Kamran casus yazılımı cihazın kişi listesini çıkarabilir. |
||
|
Korunan Kullanıcı Verileri: SMS Mesajları |
Kamran casus yazılımı SMS mesajlarını çıkarabilir ve alınan SMS'lere müdahale edebilir. |
||
|
Komuta ve kontrol |
Uygulama Katmanı Protokolü: Web Protokolleri |
Kamran casus yazılımı, C&C sunucusuyla iletişim kurmak için HTTPS kullanıyor. |
|
|
Web Hizmeti: Tek Yönlü İletişim |
Kamran, C&C sunucusu olarak Google'ın Firebase sunucusunu kullanıyor. |
||
|
dumping |
C2 Kanalı Üzerinden Sızma |
Kamran casus yazılımı HTTPS kullanarak verileri sızdırıyor. |
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.welivesecurity.com/en/eset-research/unlucky-kamran-android-malware-spying-urdu-speaking-residents-gilgit-baltistan/
