Android ziyanlı yazılımı Kamran, haber uygulaması aracılığıyla tartışmalı Keşmir bölgesi sakinlerini gözetliyor.
ESET araştırmacıları, Pakistan tarafından yönetilen bir bölge olan Gilgit-Baltistan hakkında haberler sunan bölgesel bir haber web sitesine yönelik bir watering-hole (suyun başı) saldırısı tespit etti. Makus emelli uygulama, kullanıcıdan çeşitli bilgilere erişim müsaadesi vermesini istiyor. Kabul edilirse, bireyler, takvim aktiflikleri, arama günlükleri, pozisyon bilgileri, aygıt evrakları, SMS bildirileri ve fotoğraflar hakkında bilgi topluyor.
Gilgit-Baltistan, Hindistan ve Pakistan’ın (1947’den beri) yanı sıra Hindistan ve Çin (1959’dan beri) ortasında uzun müddettir devam eden uyuşmazlıklara karışmış olan büyük Keşmir bölgesinin kuzey bölgesinden oluşmaktadır. Watering-hole akınları, sık ziyaret edilen bir web sitesinin makûs maksatlı yazılım sunmak üzere tehlikeye atıldığı bir tehdit çeşidi olarak tanımlanıyor. Hunza News web sitesinin Urduca versiyonu bir taşınabilir aygıtta açıldığında okuyuculara Hunza News Android uygulamasını direkt web sitesinden indirme imkânı sunuyor; lakin uygulama berbat niyetli casusluk yeteneklerine sahip. Urduca, bu tartışmalı bölgede etnik kümeler ortası irtibat için kullanılan resmi ve ana irtibat lisanı. ESET, daha evvel bilinmeyen bu casus yazılıma Kamran ismini verdi.
Kamran sözü, ESET tarafından paket ismi “com.kamran.hunzanews” olması nedeniyle bu casus yazılımı isimlendirmek için kullanıldı. Kamran, Pakistan’da ve Urduca konuşulan öbür bölgelerde yaygın olarak verilen bir isim; Gilgit-Baltistan’daki kimi azınlıklar tarafından konuşulan Farsça’da talihli yahut şanslı manasına geliyor.
İngilizce bölgede konuşulan ikinci resmi lisan ve Hunza News web sitesinin hem İngilizce hem de Urduca versiyonları bulunuyor. İngilizce taşınabilir versiyonu indirmek için rastgele bir uygulama sunmuyor. Yalnızca Urduca taşınabilir versiyon kelam konusu Android casus yazılımını indirmeyi teklif ediyor. İngilizce ve Urduca masaüstü sürümleri de Android casus yazılımını sunuyor ama uygulama masaüstü işletim sistemleriyle uyumlu değil. ESET Research, Kamran ile ilgili olarak Hunza News’e ulaştı lakin web sitesi bu araştırmanın yayınlanmasından evvel rastgele bir cevap vermedi.
Kamran casus yazılımı Hunza News web sitesinin içeriğini görüntülüyor ve kötü hedefli kod içeriyor. Makus hedefli uygulama başlatıldığında, kullanıcıdan çeşitli bilgilere erişim müsaadesi vermesini istiyor. Kabul edilirse, bireyler, takvim aktiflikleri, arama günlükleri, pozisyon bilgileri, aygıt evrakları, SMS bildirileri, fotoğraflar vb. hakkında data toplamaya başlıyor. Uygulamaya istenen müsaadeler verilirse, Kamran bu hassas kullanıcı bilgilerini otomatik olarak topluyor ve kodlanmış bir komuta ve denetim (C&C) sunucusuna yüklüyor. ESET, beşi Pakistan’da olmak üzere en az 22 tehlikeye atılmış akıllı telefon tespit edebildi.
Kötü hedefli uygulama web sitesinde 7 Ocak 2023 ile 21 Mart 2023 tarihleri ortasında ortaya çıktı. Makûs maksatlı uygulamanın geliştirici sertifikası 10 Ocak 2023 tarihinde verildi. Bu mühlet zarfında Gilgit-Baltistan’da toprak hakları, vergilendirme kaygıları, uzun vadeli elektrik kesintileri ve sübvansiyonlu buğday tedarikinin azalması üzere çeşitli nedenlerle protestolar düzenleniyordu.
Kamran casus yazılımını keşfeden ESET araştırmacısı Lukáš Štefanko şunları söyledi:
“Kötü hedefli uygulamanın bilhassa Android aygıtlar üzerinden web sitesine erişen Urduca konuşan kullanıcıları maksat aldığını teyit edebiliriz. Bununla birlikte, Kamran başka Android casus yazılımlarından farklı olarak eşsiz bir kod tabanı sergilediğinden, bu, bilinen rastgele bir gelişmiş kalıcı tehdit – APT – kümesine atfedilmesini önlüyor. Bu casus yazılım, uygulamaları sadece emniyetli ve resmi kaynaklardan indirmenin değerini bir defa daha gösteriyor.”
Hunza News, muhtemelen ismini Hunza Bölgesi yahut Hunza Vadisi’nden alan, Gilgit-Baltistan bölgesiyle ilgili haberler sunan bir çevrimiçi gazete. İnternet arşiv dataları, sitenin 2013 yılından bu yana haber sunduğunu gösteriyor. Hunza News, 2015 yılında Google Play Store’da bulunan yasal bir Android uygulaması sunmaya başlamıştır. ESET Research, mevcut bilgilere dayanarak bu uygulamanın Google Play’de iki sürümünün yayınlandığını ve hiçbirinin makûs gayeli fonksiyonellik içermediğini düşünüyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı