Android ziyanlı yazılımı Kamran, haber uygulaması aracılığıyla tartışmalı Keşmir bölgesi sakinlerini gözetliyor.
ESET araştırmacıları, Pakistan tarafından yönetilen bir bölge olan Gilgit-Baltistan hakkında haberler sunan bölgesel bir haber web sitesine yönelik bir watering-hole (suyun başı) saldırısı tespit etti. Berbat emelli uygulama, kullanıcıdan çeşitli bilgilere erişim müsaadesi vermesini istiyor. Kabul edilirse, bireyler, takvim aktiflikleri, arama günlükleri, pozisyon bilgileri, aygıt evrakları, SMS iletileri ve fotoğraflar hakkında data topluyor.
Gilgit-Baltistan, Hindistan ve Pakistan’ın (1947’den beri) yanı sıra Hindistan ve Çin (1959’dan beri) ortasında uzun müddettir devam eden uyuşmazlıklara karışmış olan büyük Keşmir bölgesinin kuzey bölgesinden oluşmaktadır. Watering-hole atakları, sık ziyaret edilen bir web sitesinin makus emelli yazılım sunmak üzere tehlikeye atıldığı bir tehdit tipi olarak tanımlanıyor. Hunza News web sitesinin Urduca versiyonu bir taşınabilir aygıtta açıldığında okuyuculara Hunza News Android uygulamasını direkt web sitesinden indirme imkânı sunuyor; lakin uygulama berbat niyetli casusluk yeteneklerine sahip. Urduca, bu tartışmalı bölgede etnik kümeler ortası bağlantı için kullanılan resmi ve ana bağlantı lisanı. ESET, daha evvel bilinmeyen bu casus yazılıma Kamran ismini verdi.
Kamran sözü, ESET tarafından paket ismi “com.kamran.hunzanews” olması nedeniyle bu casus yazılımı isimlendirmek için kullanıldı. Kamran, Pakistan’da ve Urduca konuşulan öbür bölgelerde yaygın olarak verilen bir isim; Gilgit-Baltistan’daki birtakım azınlıklar tarafından konuşulan Farsça’da talihli yahut şanslı manasına geliyor.
İngilizce bölgede konuşulan ikinci resmi lisan ve Hunza News web sitesinin hem İngilizce hem de Urduca versiyonları bulunuyor. İngilizce taşınabilir versiyonu indirmek için rastgele bir uygulama sunmuyor. Yalnızca Urduca taşınabilir versiyon kelam konusu Android casus yazılımını indirmeyi teklif ediyor. İngilizce ve Urduca masaüstü sürümleri de Android casus yazılımını sunuyor ama uygulama masaüstü işletim sistemleriyle uyumlu değil. ESET Research, Kamran ile ilgili olarak Hunza News’e ulaştı fakat web sitesi bu araştırmanın yayınlanmasından evvel rastgele bir cevap vermedi.
Kamran casus yazılımı Hunza News web sitesinin içeriğini görüntülüyor ve kötü maksatlı kod içeriyor. Berbat maksatlı uygulama başlatıldığında, kullanıcıdan çeşitli bilgilere erişim müsaadesi vermesini istiyor. Kabul edilirse, bireyler, takvim aktiflikleri, arama günlükleri, pozisyon bilgileri, aygıt evrakları, SMS bildirileri, fotoğraflar vb. hakkında data toplamaya başlıyor. Uygulamaya istenen müsaadeler verilirse, Kamran bu hassas kullanıcı datalarını otomatik olarak topluyor ve kodlanmış bir komuta ve denetim (C&C) sunucusuna yüklüyor. ESET, beşi Pakistan’da olmak üzere en az 22 tehlikeye atılmış akıllı telefon tespit edebildi.
Kötü hedefli uygulama web sitesinde 7 Ocak 2023 ile 21 Mart 2023 tarihleri ortasında ortaya çıktı. Berbat maksatlı uygulamanın geliştirici sertifikası 10 Ocak 2023 tarihinde verildi. Bu müddet zarfında Gilgit-Baltistan’da toprak hakları, vergilendirme kaygıları, uzun periyodik elektrik kesintileri ve sübvansiyonlu buğday tedarikinin azalması üzere çeşitli nedenlerle protestolar düzenleniyordu.
Kamran casus yazılımını keşfeden ESET araştırmacısı Lukáš Štefanko şunları söyledi:
“Kötü emelli uygulamanın bilhassa Android aygıtlar üzerinden web sitesine erişen Urduca konuşan kullanıcıları gaye aldığını teyit edebiliriz. Bununla birlikte, Kamran öbür Android casus yazılımlarından farklı olarak eşsiz bir kod tabanı sergilediğinden, bu, bilinen rastgele bir gelişmiş kalıcı tehdit – APT – kümesine atfedilmesini önlüyor. Bu casus yazılım, uygulamaları sırf emniyetli ve resmi kaynaklardan indirmenin ehemmiyetini bir defa daha gösteriyor.”
Hunza News, muhtemelen ismini Hunza Bölgesi yahut Hunza Vadisi’nden alan, Gilgit-Baltistan bölgesiyle ilgili haberler sunan bir çevrimiçi gazete. İnternet arşiv bilgileri, sitenin 2013 yılından bu yana haber sunduğunu gösteriyor. Hunza News, 2015 yılında Google Play Store’da bulunan yasal bir Android uygulaması sunmaya başlamıştır. ESET Research, mevcut datalara dayanarak bu uygulamanın Google Play’de iki sürümünün yayınlandığını ve hiçbirinin berbat gayeli fonksiyonellik içermediğini düşünüyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
