Meta (Facebook) çeyrek 2022 rakip tehdit raporunu yayınladı ve önemli noktalar arasında, yeni Android kötü amaçlı yazılım kullanarak 'acı apt' ve apt36 (aka 'şeffaf kabile' olarak bilinen hacker gruplarına bağlı iki siber-durum kümesinin keşfi.
Bu siber olan operatörler, istihbarat toplamak için (OSINT) veya sahte kişiler kullanarak kurbanlarla arkadaş olmak için Facebook gibi sosyal medya platformlarını kullanır ve daha sonra kötü amaçlı yazılım indirmek için harici platformlara sürükler.
Hem APT36 hem de acı Apt, bu yılın başlarında siber-ihale kampanyalarının düzenlendiği gözlemlendi, bu nedenle Facebook'un raporu son faaliyetlerine yeni bir boyut veriyor.
Pakistan uyumlu devlet destekli aktör APT36 yakın zamanda MFA-bypassing araçları kullanarak Hindistan hükümetini hedefleyen bir kampanyada ortaya çıktı.
Acı Apt, Mayıs 2022'de Bangladeş Hükümeti'ni uzaktan dosya yürütme yetenekleri içeren yeni bir kötü amaçlı yazılımla hedefleyen gözlemlendi.
Meta'nın raporu, Acı APT'nin Yeni Zelanda, Hindistan, Pakistan ve Birleşik Krallık'taki hedeflere karşı sosyal mühendisliğe katıldığını açıklıyor.
Grubun amacı hedeflerini kötü amaçlı yazılımlarla enfekte etmekti ve bu amaçla URL kısaltma hizmetleri, tehlikeye atılmış siteler ve üçüncü taraf dosya barındırma sağlayıcılarının bir kombinasyonunu kullandı.
Raporda Meta, "Bu grup, faaliyet ve alan altyapısının tespiti ve engellenmesine agresif bir şekilde yanıt verdi."
"Örneğin, Bitter, insanların onları tıklamak yerine tarayıcılarına yazmaları gerekecek şekilde kırık bağlantılar veya kötü niyetli bağlantıların görüntüleri yayınlamaya çalışacaktır - hepsi başarısız bir şekilde kaçınmak için."
Bitter'in son saldırıları, tehdit oyuncusunun cephaneliğine sırasıyla iOS ve Android kullanıcılarını hedefleyen iki mobil uygulama şeklinde eklemeler ortaya koydu.
İOS sürümü, Apple'ın TestFlight Service aracılığıyla sunulan bir sohbet uygulamasıydı, uygulama geliştiricileri için bir test alanı. Tipik olarak, tehdit aktörleri kurbanları bu sohbet uygulamalarını "daha güvenli" veya "daha güvenli" olarak sunarak indirmeye ikna eder.
Facebook tarafından keşfedilen Android uygulaması, 'Dracarys' adlı Meta'nın kullanıcının rızası olmadan kendisine daha fazla izin vermek için erişilebilirlik hizmetlerini kötüye kullanan yeni bir kötü amaçlı yazılımdır.
Oradan, casus yazılım olarak hareket etmek, kısa mesajları çalmak, uygulamaları yüklemek ve ses kaydetmek için çeşitli Android uygulamalarına enjekte eder.
"YouTube, sinyal, telgraf, whatsApp ve çağrı günlüklerine, kişilere, dosyalara, metin mesajlarına, coğrafi konum, cihaz bilgileri, fotoğraf çeken, mikrofonları etkinleştirebilen ve özel sohbet uygulamalarının truva (resmi olmayan) versiyonlarına acı enjekte etti. Uygulamalar yükleme, "diye açıkladı Meta'nın raporu.
Meta, mevcut tüm anti-virüs motorlarında tespit edilmeyen boşlukların altını çizerek Bitter'in gizli özel kötü amaçlı yazılımlar oluşturma yeteneklerini vurguluyor.
APT36, çok daha az karmaşık bir tehdit oyuncusudur, ancak yine de karmaşık sosyal mühendislik taktiklerine ve kolayca mevcut kötü amaçlı yazılımlara dayanan güçlü bir tehdittir.
Meta tarafından keşfedilen en son faaliyet, Afganistan, Hindistan, Pakistan, Birleşik Arap Emirlikleri ve Suudi Arabistan'da özellikle askeri yetkililere ve insan hakları aktivistlerine odaklanan insanları hedef aldı.
APT36 üyeleri Facebook'ta sahte veya hayali firmalar için işe alım görevlileri olarak hesaplar oluşturdu ve hedeflerine sözde iş teklifleri göndermek için Wetransfer dosya paylaşım hizmetini kullandı.
İndirilen dosyalar, Meta'nın 'Lazaspy' adlı değiştirilmiş bir sürümünü içeriyordu. Aktörün modifikasyonları, coğrafi olarak sınırlandırılmış bir hedefleme mekanizmasının başarısız bir şekilde uygulanmasını içerir.
Lazaspy dışında APT36, operatörlerin arama günlüklerine, iletişim listelerine, SMS'ye, GPS verilerine, fotoğraflara ve mikrofona erişmesini sağlayan bir emtia kötü amaçlı yazılım olan Mobzsar'ı da kullandı.
Rus hackerlar Ukraynalı aktivistlere enfekte etmek için sahte DDOS uygulaması kullanıyor
Google Play Store'daki Android kötü amaçlı yazılım 2 milyon indirme alıyor
Çinli hackerlar arka kapı govt, savunma orgs için yeni windows kötü amaçlı yazılım kullanıyor
Facebook reklamları, google Play'de 7 milyon yükleme ile Android reklam yazılımı itiyor
Google Play'den 10 milyon kez yüklenen yeni Android kötü amaçlı yazılım uygulamaları
Kaynak: Bleeping Computer