Gözetim şirketi Intellexa'nın Predator casus yazılımı, yalnızca kötü amaçlı bir reklamı görüntüleyerek belirli hedefleri tehlikeye sokan "Aladdin" adlı sıfır tıklamalı bir enfeksiyon mekanizması kullanıyor.
Bu güçlü ve önceden bilinmeyen enfeksiyon vektörü, birden fazla ülkeye yayılmış paravan şirketlerin arkasına titizlikle gizlenmiş durumda ve şimdi Inside Story, Haaretz ve WAV Research Collective tarafından yapılan yeni bir ortak araştırmayla ortaya çıkarıldı.
Soruşturma, sızdırılan şirket içi belgeler ve pazarlama materyallerinden oluşan 'Intellexa Sızıntıları'na dayanıyor ve Uluslararası Af Örgütü, Google ve Recorded Future'daki adli tıp ve güvenlik uzmanlarının teknik araştırmalarıyla da destekleniyor.
İlk kez 2024'te devreye alınan ve hala çalışır durumda olduğuna ve aktif olarak geliştirildiğine inanılan Aladdin, kötü amaçlı yazılım dağıtmak için ticari mobil reklamcılık sisteminden yararlanıyor.
Mekanizma, silah haline getirilmiş reklamları genel IP adresleri ve diğer tanımlayıcılar tarafından belirlenen belirli hedeflere zorlayarak, platformlara Talep Tarafı Platformu (DSP) aracılığıyla reklam ağına katılan herhangi bir web sitesinde bunu sunmaları talimatını veriyor.
Uluslararası Af Örgütü Güvenlik Laboratuvarı, "Bu kötü amaçlı reklam, güvenilir bir haber sitesi veya mobil uygulama gibi reklam görüntüleyen herhangi bir web sitesinde yayınlanabilir ve hedefin görmesi muhtemel diğer reklamlar gibi görünebilir" diye açıklıyor.
"Şirket içi materyaller, reklamın kendisine tıklamaya gerek kalmadan, yalnızca reklamı görüntülemenin hedefin cihazında enfeksiyonu tetiklemek için yeterli olduğunu açıklıyor."
Virüsün nasıl çalıştığına dair hiçbir ayrıntı mevcut olmasa da Google, reklamların Intellexa'nın istismar dağıtım sunucularına yönlendirmeleri tetiklediğini belirtiyor.
Reklamlar, İrlanda, Almanya, İsviçre, Yunanistan, Kıbrıs, BAE ve Macaristan dahil olmak üzere birçok ülkeye yayılmış karmaşık bir reklam firmaları ağı aracılığıyla aktarılıyor.
Recorded Future, reklam ağını daha derinlemesine inceleyerek önemli kişiler, firmalar ve altyapı arasındaki noktaları birleştirdi ve raporunda bu şirketlerden bazılarına isim verdi.
Bu kötü amaçlı reklamlara karşı savunma yapmak karmaşıktır ancak reklamları tarayıcıda engellemek iyi bir başlangıç noktası olabilir.
Bir başka potansiyel savunma önlemi, tarayıcıyı genel IP'yi izleyicilerden gizleyecek şekilde ayarlamak olabilir.
Ancak sızdırılan belgeler, Intellexa'nın bilgileri hâlâ müşterilerinin ülkesindeki yerli mobil operatörlerden alabildiğini gösteriyor.
Sızıntıdaki bir diğer önemli bulgu, 'Triton' adı verilen başka bir dağıtım vektörünün varlığının doğrulanmasıdır. Bu vektör, Samsung Exynos'lu cihazları temel bant açıklarından yararlanarak hedefleyebilir ve 2G sürüm düşürmeye zorlayarak enfeksiyona zemin hazırlayabilir.
Uluslararası Af Örgütü'nün analistleri bu vektörün hâlâ kullanılıp kullanılmadığından emin değiller ve radyo iletişimlerini veya fiziksel erişim saldırılarını içerdiğine inanılan, kod adı "Thor" ve "Oberon" olan, muhtemelen benzer iki dağıtım mekanizmasının daha bulunduğunu belirtiyorlar.
Google'ın araştırmacıları Intellexa'yı sıfır gün istismarı açısından en üretken ticari casus yazılım satıcılarından biri olarak adlandırıyor ve TAG'ın 2021'den bu yana keşfettiği ve belgelediği 70 sıfır gün istismarı vakasından 15'inden sorumlu.
Google, Intellexa'nın kendi açıklarını geliştirdiğini ve ayrıca gerekli hedeflemenin tüm yelpazesini kapsayacak şekilde harici kuruluşlardan yararlanma zincirleri satın aldığını söylüyor.
Uluslararası Af Örgütü'ne göre, Yunanistan'da Intellexa'ya yönelik yaptırımlara ve devam eden soruşturmalara rağmen casus yazılım operatörü her zamanki kadar aktif.
Predator daha gizli ve takip edilmesi zorlaştıkça, kullanıcıların mobil cihazlarında Android'de Gelişmiş Koruma ve iOS'ta Kilitleme Modu gibi ekstra korumayı etkinleştirmeyi düşünmeleri öneriliyor.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, "iyi" IAM'nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.
Google, Quick Share ve AirDrop aracılığıyla Pixel'den iPhone'a dosya paylaşımına olanak tanıyor
Yeni Android casus yazılımı ClayRat, WhatsApp, TikTok ve YouTube'u taklit ediyor
Google, saldırılarda istismar edilen iki Android sıfır gününü, 107 kusurunu düzeltti
Çoklu tehdit içeren Android kötü amaçlı yazılımı Sturnus, Signal ve WhatsApp mesajlarını çaldı
Google, Play Store'da aşırı pil kullanan Android uygulamalarını işaretleyecek
Kaynak: Bleeping Computer