Hindistan devleti destekli olduğu şüphelenilen tehdit aktörleri, Pakistan’ı hedef alıyor

Yeni bir araştırma raporuna göre Hindistan devleti destekli olduğu şüphelenilen tehdit aktörleri, Pakistan’daki kullanıcıların cihazlarına casusluk amaçlı kötü amaçlı yazılımlar bulaştırmaya ikna etmek sosyal mühendislik tekniklerinden yararlanmış.

Slovakya merkezli siber güvenlik şirketi ESET’in raporuna göre Patchwork olarak bilinen bu tehdit aktörü, aralarında tespit edildiği kadarıyla MeetMe, Let’s Chat, Quick Chat ve Rafaqat gibi en az 12 tane hem mesajlaşma hem de haber görünümlü Android uygulamaları oluşturmuş. Bu uygulamalar, Google Play Store dahil diğer üçüncü parti uygulama siteleri aracılığıyla dağıtılmış. Tespit edilen uygulamalar Google tarafından kaldırılmadan önce 1400’den fazla yükleme sayısına ulaşmış ancak üçüncü parti uygulama sitelerindeki varlığının devam ettiği görülmüş.

ESET araştırmacıları, Malezya’da  bazı kurbanların olduğunu keşfetmişler ancak bunların tamamiyle tesadüf olduğuna ve gerçek hedeflerin arasında olmadığına inanıyorlar. Araştırma sırasında bazı kurban verilerine ulaşan araştırmacılar, Pakistan ve Hindistan’da güvenliği ihlal edilmiş 148 cihazın coğrafi konumunu keşfetmişler. Bunların muhtemelen gerçek hedefler olduğu düşünülüyor.

Araştırmacılar, yaptıkları teknik analizlerde mesajlaşma uygulamalarındaki ortak noktalardan birinin VajraSpy RAT’ının kullanılması olmuş. VajraSpy, genellikle mesajlaşma uygulaması görünümüne bürünen ve kullanıcı verilerini sızdırmak için kullanılan özelleştirilebilir bir truva atı olarak geçiyor.

Tehdit aktörleri, bilinen meşru mesajlaşma uygulamalarında hedeflediği kişilere yönelik “bal tuzağı” aşk dolandırıcılığı yöntemini kullanmışlar. Böylelikle hedeflediği kişilerin, kendi oluşturdukları mesajlaşma görünümlü casus uygulamaları yüklemeleri hedeflenmiş.