Android istifadəçiləri saxta Signal və ToTok proqramları vasitəsilə hədəfə alınıb. Minlərlə istifadəçinin şəxsi məlumatları oğurlanıb.

Kibertəhlükəsizlik mütəxəssisləri Android cihazlarını hədəf alan iki yeni casus proqram proqramını aşkar ediblər. Zərərli proqram ProSpy və ToSpy saxta Signal və ToTok proqramları vasitəsilə yayılıb. Məsum görünən əlavələr və yeniləmə faylları ilə istifadəçilərin cihazlarına sızan bu zərərli proqramların xüsusilə Yaxın Şərqdə aktiv olduğu aşkarlanıb.

ProSpy kampaniyası istifadəçiləri Siqnal adı ilə maskalanmış saxta əlavə ilə aldadıb. Quraşdırıldıqdan dərhal sonra yüklənmiş paket cihazın mesaj qeydlərinə, əlaqə siyahısına və fayllarına daxil olmaq üçün icazə tələb etdi. Quraşdırma tamamlandıqdan sonra zərərli proqram arxa planda işləməyə, şəxsi məlumatları oğurlamağa və hücumçu tərəfindən idarə olunan serverlərə ötürməyə başladı.

Google Play Kimliyi

Təcavüzkarlar zərərli proqramı gizlətmək üçün aldadıcı üsullardan istifadə ediblər. Tətbiq əsas ekranda Google Play Xidmətləri ikonasını təqlid edərək istifadəçilərə etibarlı göründü. İşarəyə toxunmaq şübhənin qarşısını alan həqiqi Play Xidmətləri pəncərəsini açır. Bu üsul zərərli proqram təminatının cihazlarda uzun müddət aşkar edilmədən işləməsinə imkan verirdi.

ToSpy, digər tərəfdən, saxta ToTok versiyaları vasitəsilə yayıldı. İstifadəçilər proqramı quraşdırdıqda, o, saxlama icazələri tələb etdi və dərhal sonra sənədlər, fotoşəkillər, videolar və söhbət ehtiyat nüsxələri - şəxsi məlumatlar oğurlandı və təcavüzkarların serverlərinə köçürüldü.

Tətbiq işə salındıqda əsl ToTok proqramı arxa planda işləyirdi və bu, qurbanların saxta proqramı aşkarlamasını çətinləşdirirdi. Əgər ToTok cihazda quraşdırılmayıbsa, istifadəçilər rəsmi mağazalara yönləndirilib və tətbiqi yükləmələri xahiş olunub.

ESET Fırıldaqçılığı aşkarladı

ESET-in araşdırmasına görə, iki kampaniya müxtəlif vaxtlarda aktivləşdirilib. ToSpy 2022-ci ildə qurulmuş bir infrastruktur üzərində qurulmuşdu, ProSpy isə 2024-cü ildə fəaliyyətə başlamışdı. Nəticələr hücumların uzunmüddətli planlaşdırma ilə həyata keçirildiyini göstərir.

Casus proqram, hətta cihaz yenidən işə salındıqdan sonra da fəaliyyətini davam etdirmək üçün Android sistem xidmətlərindən istifadə edir. O, AlarmManager ilə qapalı prosesləri yenidən aktivləşdirir və əvvəllər işləyən xidmətləri təqlid edərək sistem prioritetini qazanır, onun arxa planda fasiləsiz işləməsinə və şəxsi məlumatları oğurlamağa davam etməyə imkan verir. O, həmçinin cihaz işə salındıqda avtomatik işə salmaqla daimi mövcudluğu qoruyur.

Ehtiyat tədbirləri və xəbərdarlıqlar
 

Mütəxəssislər istifadəçilərə saxta proqramların yaratdığı təhlükələr barədə xəbərdarlıq edir. Android istifadəçiləri proqramları yalnız Google Play Store kimi rəsmi mağazalardan endirməlidirlər. Tərtibatçıların rəsmi saytlarından yükləmələr də təhlükəsiz hesab olunur.

İstifadəçilərə Play Protect-i aktiv saxlamaq, naməlum mənbələrdən APK quraşdırmamaq və cihazlarında şübhəli fəaliyyət aşkar etdikdə təhlükəsizlik proqramından istifadə etmək tövsiyə olunur. O, həmçinin korporativ cihazlarda ciddi təhlükəsizlik siyasətlərinə ehtiyac olduğunu vurğulayır.