Kaspersky araştırmacıları Android cihazlarını hedef alan gelişmiş bir saldırı tespit etti. Saldırının OceanLotus adlı gelişmiş kalıcı saldırı grubuyla bağlantılı olabileceği tahmin ediliyor. PhantomLance adı verilen saldırı en az 2015’ten bu yana devam ediyor. Kurbanların verilerini ele geçirmek için tasarlanan karmaşık bir casus yazılımının çeşitli sürümlerinin ve akıllı dağıtım taktiklerinin kullanıldığı saldırı Google Play’deki uygulamalar aracılığıyla bile yayılıyor.
Temmuz 2019’da üçüncü taraf güvenlik araştırmacıları Google Play’de yeni bir casus yazılımı keşfettiklerini raporladı. Gelişmişlik düzeyi ve davranışları resmi uygulama mağazalarına yüklenen diğer Truva atlarından çok farklı olan bu yazılım Kaspersky’nin dikkatini çekti. Kaspersky araştırmacıları bu zararlı yazılıma çok benzeyen başka bir örneği Google Play’de tespit etti. Zararlı yazılım geliştiricileri uygulamalarını yasal mağazalara yüklemeyi başardıktan sonra, indirme sayısını ve bununla beraber kurban sayısını artırmak için uygulamanın tanıtımına büyük yatırım yapar. Ancak bu yeni keşfedilen zararlı uygulamalarda durum böyle değildi. Geliştiricilerin uygulamayı geniş kitlelere yaymakla çok ilgilenmediği görüldü. Araştırmacılar için bu durum hedefli bir APT saldırısının göstergesi oldu. Devam eden araştırmalarda bu zararlı yazılımın benzer kodlar taşıyan çok sayıda sürümü keşfedildi.
Sürümlerin hepsinde temel amaç bilgi toplamaktı. Temel işlev çok geniş olmasa da konum, arama kayıtları, iletişim bilgileri ve SMS erişiminin yanı sıra kurulu uygulamalar, cihazın modeli ve işletim sistemi ile ilgili bilgilerin toplandığı görüldü. Ayrıca tehdit grubunun başka zararlı yazılımlar indirip kurabildiği böylece saldırıyı cihazın Android sürümüne ve sahip olduğu uygulamalara göre değiştirebildiği anlaşıldı. Tehdit grubu bu sayede uygulamayı çok gerekli olmayan özelliklerle doldurmak zorunda kalmadan istediği bilgileri toplayabiliyordu.
Süren araştırmalarda PhantomLance’in Google Play ve APKpure’un da dahil olduğu birçok platform ve pazar yerinde varlık gösterdiği tespit edildi. Uygulamaların yasal gibi görünmesi için saldırganlar bir Github hesabı açarak sahte bir geliştirici profili oluşturdu. Pazar yerlerinin filtre mekanizmalarından kaçınmak içinse uygulamanın pazar yerine yüklenen ilk sürümüne hiçbir zararlı işlev eklenmiyordu. Ancak sonra gelen güncellemelerle uygulamalara zararlı işlevler ve bunları çalıştıracak kodlar eklendi.
Kaspersky Security Network’ün elde ettiği verilere göre 2016’dan bu yana Hindistan, Vietnam, Bangladeş ve Endonezya’da 300’den fazla Android cihazına izinsiz giriş denemesi yapıldı. Tespit istatistiklerine ikincil sızıntılar dahil olsa da Vietnam saldırı teşebbüsünün en çok rastlandığı ülke oldu. Saldırıda kullanılan bazı zararlı uygulamaların özel olarak Vietnamca olduğu da görüldü.
Kaspersky’nin farklı zararlı kodlar arasındaki benzerlikleri bulmaya yarayan aracı sayesinde araştırmacılar, PhantomLance’teki kodların en yüzde 20’sinin OceanLotus adlı gruba atfedilen eski bir Android saldırısıyla benzerlik gösterdiğini belirledi. 2013’ten beri aktif olan OceanLotus grubu genellikle Güneydoğu Asya’daki kurbanları hedef alıyor. Ayrıca OpenLotus’un Windows ve MacOS’teki faaliyetleriyle de önemli benzerlikler tespit edildi. Kaspersky araştırmacıları buradan hareketle PhantomLance saldırısının OceanLotus ile bağlantılı olabileceğini dile getirdi.
Kaspersky, keşfettiği tüm örnekleri yasal uygulama mağazalarına bildirdi. Google, bu uygulamaların Google Play’den kaldırıldığını doğruladı.
Kaspersky GReAT Güvenlik Araştırmacısı Alexey Firsh, “Bu saldırı, gelişmiş tehdit gruplarının tespit edilmemek için ne kadar karmaşık önlemler aldığının büyük bir örneği. PhantomLance beş yıldan fazla süredir devam ediyor ve tehdit grupları uygulama mağazalarının filtrelerini kullandıkları gelişmiş yöntemlerle defalarca delmeyi başardı. Ana sızma noktası olarak mobil platformların kullanıldığı örnekler giderek sıklaşıyor. Çoğu tehdit grubu bu alanı hedef almaya başladı. Bu gelişmeler tehdit istihbaratı ve destekleyici hizmetlerin ne kadar önemli olduğunun altını çiziyor. Bu hizmetler sayesinde tehdit gruplarını takip edip eski saldırılardaki benzerlikleri tespit etmek mümkün oluyor.” dedi.
PhantomLance saldırısıyla ilgili raporun tamamını Securelist sayfasında bulabilirsiniz.
Kişilere ve kurumlara yönelik hedefli saldırıların kurbanı olmamak için Kaspersky’nin şu önerilerini uygulayabilirsiniz:
Tüketiciler şunları yapabilir:
- Birçok farklı tehdide karşı kapsamlı koruma sağlayan, Kaspersky Security Cloud gibi güvenilir güvenlik çözümleri kullanın. Bu çözümde yer alan Kaspersky Secure Connection özelliği, çevrim içi faaliyetlerinizin takip edilmesini önlüyor, IP adresinizi ve konumunuzu gizliyor ve verilerinizi güvenli bir VPN tüneli üzerinden aktarıyor.
- Uç nokta güvenlik çözümünüzün Kaspersky Security for Mobile gibi bir mobil cihaz koruma sistemine sahip olduğundan emin olun. Bu sistemin kurumsal cihazlara yalnızca yasal uygulamaların kurulmasına izin verme, root işlemi yapılan cihazları engelleme veya bu cihazlardaki kurumsal verileri kaldırma gibi özelliklere sahip olmasına özen gösterin.
- Güvenlik merkezi ekiplerinizin en yeni tehdit istihbaratı verilerine ulaşmasını sağlayın. Böylece tehdit grupları tarafından kullanılan yeni araçlar, teknikler ve taktikler hakkında güncel bilgiye sahip olabilirler.
- Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için Kaspersky Endpoint Detection and Response gibi bir uç nokta tespit ve müdahale çözümü kullanın.
- Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden, Kaspersky Anti Targeted Attack Platform gibi kurumsal sınıf bir güvenlik çözümü kullanın.
Şirketler ise şu önlemleri alabilir:
- Uç nokta güvenlik çözümünüzün Kaspersky Security for Mobile gibi bir mobil cihaz koruma sistemine sahip olduğundan emin olun. Bu sistemin kurumsal cihazlara yalnızca yasal uygulamaların kurulmasına izin verme, root işlemi yapılan cihazları engelleme veya bu cihazlardaki kurumsal verileri kaldırma gibi özelliklere sahip olmasına özen gösterin.
- Güvenlik merkezi ekiplerinizin en yeni tehdit istihbaratı verilerine ulaşmasını sağlayın. Böylece tehdit grupları tarafından kullanılan yeni araçlar, teknikler ve taktikler hakkında güncel bilgiye sahip olabilirler.
- Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için Kaspersky Endpoint Detection and Response gibi bir uç nokta tespit ve müdahale çözümü kullanın.
- Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden, Kaspersky Anti Targeted Attack Platform gibi kurumsal sınıf bir güvenlik çözümü kullanın.