SpaceCobra olarak bilinen bir bilgisayar korsanlığı grubu, hedef cihazdan pek çok hassas bilgiyi çalabilen bir anlık mesajlaşma uygulaması geliştirdi. Araştırmacılar uygulamayı indirmekte zorlandığı için, tehdit aktörü tam olarak kimi hedeflemek istediğini biliyor gibi görünüyor.
ESET siber güvenlik araştırmacıları kısa bir süre önce BingeChat ve Chatico adlı iki mesajlaşma uygulamasının aslında bir uzaktan erişim trojan’i olan GravityRAT’ı çalıştırdığını keşfetti. Bu RAT, arama günlükleri, kişi listesi, SMS mesajları, cihaz konumu, temel cihaz bilgileri ve resimler, fotoğraflar ve belgeler için belirli uzantılara sahip dosyalar dahil olmak üzere güvenliği ihlal edilmiş uç noktalardan çok sayıda hassas bilgiyi sızdırma yeteneğine sahip.
Bu iki uygulamayı GravityRAT’i taşıyan diğer uygulamalardan ayıran temel şey, bunların WhatsApp yedeklerini çalabilmesi ve dosyaları silmek için komutlar alabilmesi.
Dağıtım şekli farklı
Bu tehlikeyi daha da benzersiz kılan özelliği, kötü amaçlı yazılımın dağıtılma şekli. Uygulamalar, uygulama mağazalarında bulunamıyor ve Google Play’e hiçbir zaman yüklenmemiş gibi gözüküyor. Bunun yerine, yalnızca özel hazırlanmış bir web sitesini ziyaret ederek ve bir hesap açarak indirilebiliyor. Bu durum çok özel gibi gözükmeyebilir, ancak ESET araştırmacıları siteyi ziyaret ettiklerinde kayıtların “kapatılmış” olmasından dolayı bir hesap açamadılar. Bu da, araştırmacıları, grubun muhtemelen belirli bir konum veya IP adresini hedefleme konusunda çok kesin bir hedefe sahip olduğu sonucuna varmalarına sebep oldu.
ESET araştırmacısı Lukáš Štefenko, “En olası durum, operatörlerin, yalnızca belirli bir kurbanın, muhtemelen belirli bir IP adresi, coğrafi konum, özel URL ile veya belirli bir zaman çerçevesi içinde ziyaret etmesini beklediklerinde kaydı açmaları” olduğunu söylüyor ve ekliyor: “BingeChat uygulamasını web sitesi aracılığıyla indiremesek de VirusTotal’da bir dağıtım URL’si bulabildik.”
Kurbanların çoğu Hindistan’da
Bununla birlikte, kurbanların çoğunun Hindistan’da yaşadığı görülüyor. SpaceCobra olarak tanımlanan saldırganlar Pakistan kökenli gibi gözüküyor. Araştırmacılar, kampanyanın büyük olasılıkla geçtiğimiz yıl Ağustos ayından bu yana aktif olduğunu ve ikisinden birinin (BingeChat) hala aktif olduğunu söyledi. Açık kaynaklı OMEMO Instant Messenger uygulamasını temel alan kötü amaçlı uygulama, Windows, macOS ve Android işletim sistemlerini etkileyebiliyor.