Bir Rus programcı, Rusya'nın Federal Güvenlik Servisi (FSB) tarafından on beş gün boyunca gözaltına alındıktan ve telefonuna el konulduktan sonra, geri döndükten sonra cihazına gizlice yeni bir casus yazılım kurulduğu keşfedildi.
Programcı Kirill Parubets, Ukrayna'ya bağış yapmakla suçlandıktan sonra FSB tarafından tutuklandı. Mobil cihazına erişimi geri kazandıktan sonra, programcı, alışılmadık davranışlar sergiledikten sonra Rus hükümeti tarafından kurcalandığından ve "ARM Cortex VX3 senkronizasyonu" belirten bir bildirim sergilediğinden şüphelendi.
Adli analiz için Citizen Lab ile paylaştıktan sonra, araştırmacılar, Google Play'de 10.000.000'den fazla indirme olan meşru ve popüler bir Android uygulaması 'Küp Çağrı Kaydedici' taklit eden cihaza casus yazılımın kurulduğunu doğruladılar.
Meşru uygulamanın aksine, casus yazılımlar, cihaza sınırsız erişim sağlayarak ve saldırganların telefondaki etkinlikleri izlemesine izin veren geniş bir izin yelpazesine erişime sahiptir.
Citizen Lab, kötü amaçlı yazılımın, ilk olarak 2019 yılında Lookout tarafından keşfedilen ve St Peterburg merkezli Özel Teknoloji Merkezi, Ltd.
Parubets cihazında keşfedilen yeni kötü amaçlı yazılımların, Monokle kodunun bazılarını tabanı olarak kullanan yeni bir araç olması da mümkündür.
Citizen Lab, "Operasyonlar, işlevsellik ve jeopolitik motivasyonlardaki birçok önemli benzerlik, bunun Monokle casus yazılımının güncellenmiş bir versiyonu veya aynı kodun çoğunu yeniden kullanılarak oluşturulan yeni yazılım olduğunu değerlendirmemize yol açıyor."
Programcının telefonuna FSB tarafından implante edilen casus yazılım, orijinal monokle mimarisini yansıtan ancak şifreleme ve izinlerindeki değişikliklerdeki ilerlemeler içeren şifreli iki aşamalı bir işlem kullanır.
Yetenekleri şunları içerir:
Citizen Labs, ikinci aşamanın casus yazılımların işlevselliğinin çoğunu içerdiğini ve algılamayı karmaşıklaştırmak için görünüşte rastgele isimlere sahip şifreli dosyalar içerdiğini belirtiyor.
Analistler ayrıca, Apple iPhone cihazlarında çalışan bir varyant olasılığına işaret eden casus yazılım kodundaki iOS'a referans bulduğunu bildiriyor.
2019 sürümünden bu yana dikkate değer izin değişiklikleri (son belgelendirildi) 'Access_background_location' ve 'install_packages' ve 'USE_FingerPrint' ve 'set_wallpaper'ın kaldırılmasıdır.
Cihazları kolluk kuvvetleri tarafından el konulması ve daha sonra iade edilen kişiler, başka bir cihaza geçmeli veya analiz için uzmanlara teslim etmelidir.
Baskıcı ülkelerde yaşayanlar, dışarıda ve keyfi tutuklama riski altındayken 'brülör' cihazları kullanmayı, Apple'ın kilitleme modu gibi casusluk karşıtı mekanizmalar kullanmayı ve işletim sistemlerini ve uygulamaları güncel tutmalıdır.
Yeni Droidbot Android Kötü Yazılım Hedefleri 77 Bankacılık, Kripto Uygulamaları
Google Play'de Spyloan Android Kötü Yazılım 8 milyon kez yüklendi
Android kötü amaçlı yazılım "sahtekarlık" şimdi banka çağrılarını saldırganlara yönlendiriyor
Rusya, Windows, Android Kötü Yazılım ile Ukraynalı askeri hedefliyor
Google Play'de 200'den fazla kötü amaçlı uygulama milyonlarca kez indirildi
Kaynak: Bleeping Computer