ICT Media
Ağustos 2018’de keşfedilen ve telefon görüşmelerini izinsiz kaydeden Triout casus yazılımı yeniden ortaya çıktı. Popüler uygulamaları kullanarak cihazlara sızan ve hedefli casusluk saldırıları düzenlemek amacıyla üretildiği düşünülen Triout, telefon görüşmeleri, mesajlar, fotoğraflar, videolar ve lokasyonlar gibi bilgileri ele geçirerek siber saldırganların yönettiği bir sunucuya yönlendiriyor. En son 7 Aralık 2018’de aktif gözüken yazılımın varlığını tekrar tespit eden Bitdefender Antivirüs araştırmacıları, yazılımın artık (Psiphon) “com.psiphon3” isimli proxy uygulamasıyla yayıldığını belirterek gizlenme kabiliyeti oldukça yüksek olan Triout’a karşı uyarıyor.
Gizliliği yem olarak kullanıyor
Engelli bazı websitelerine giriş sağlayan popüler bir uygulama olan ve bir öncekiyle aynı kötü niyetli yazılım kökünü barındıran Psiphon uygulamasının şimdiye kadar 50 milyondan fazla indirildiği ve çoğu pozitif olmak üzere 1 milyondan fazla yoruma sahip olduğu biliniyor.
Google Play’e ulaşılamayan yerlerde üçüncü parti mağazalar üzerinden de yayılan Psiphon, siber saldırganlara gelir yaratmak adına Google Ads, Inmobi Ads ve Mopub Ads olmak üzere üç reklam yazılımını da kapsıyor. Kullanıcılara daha fazla gizlilik imkanı vaat eden bu uygulamanın Triout yazılımıyla paketlenerek amacına tamamen zıt şekilde hareket etmesi, siber saldırganların kullanıcıların gizlilik isteğini bir yem olarak kullandığına işaret ediyor.
Yazılımdan etkilenen yeni uygulamayı ilk olarak 11 Ekim 2018’de fark ettiklerini dile getiren Bitdefender Antivirüs araştırmacıları, uygulamanın 2 Mayıs 2018’den 7 Aralık 2018’e kadar aktif olduğunu gözlemlediklerini belirtiyor. Sonuçlara göre bahsedilen uygulamaya eklenen paket örneği (MD5: 7ed754a802f0b6a1740a99683173db73 Package Name: com.psiphon3 Signed with Debug Certificate: SHA:61ed377e85d386a8dfee6b864bd85b0bfaa5af81), daha önce tespit edilen casus yazılım köküyle benzer özellikler içeriyor.
Yeni Triout’taki farklılık ise tehdit aktörlerinin emir ve kontrol mekanizması olarak kullandıkları sunucuyu değiştirmiş olmaları. 188.165.49.205 IP adresine sahip bu sunucu, aktifliğini hala sürdürerek ciddi tehlike yaratırken çeşitli ürünler ile ilgili indirimler sunan Fransa merkezli bir websitesine yönlendirme yapıyor. Sitenin en başından beri siber saldırganlara ait olduğu ya da ele geçirilip geçirilmediği ise henüz bilinmiyor.
Mobil cihazınız ajanınız olmasın!
Android cihaz sayısının çoğalmasının siber saldırganların eğilimlerini belirlediğini dile getiren Bitdefender Antivirüs araştırmacıları, kamera, mikrofon, GPS gibi veri biriktiren pek çok sensörün kötü niyetli yazılımlar nedeniyle birer casusa dönüşebileceğinin altını çiziyor.
Triout gibi hedefli casusluk yazılımlarına karşı uyaran Bitdefender Antivirüs araştırmacıları, kullanıcıların casus yazılım tehdidinden uzak kalabilmesi için mutlaka kötü niyetli yazılımları fark eden bir mobil güvenlik çözümü kullanmaları, işletim sistemlerini en yeni güvenlik uygulamalarıyla sürekli güncel tutmaları ve uygulamaları sadece resmi mağazalardan indirmeleri gerektiğini vurguluyor.
Kullanıcıların engelli bir web sitesine erişim gibi yasak olan ama onlara zararsız gibi görünen işlemleri yapmak için çeşitli üçüncü parti uygulamalar kullanmasının yanlış olabileceğini dile getiren Bitdefender Türkiye Operasyon Direktörü Alev Akkoyunlu, bu uygulamaların arka planda başka güvenlik zafiyetleri yaşatabileceğini vurguluyor. Akkoyunlu, kullanıcıların sosyal medyada onları gözetleyenleri, başkalarının cep telefonlarına ne isimle kaydedildiklerini, eski sevgililerin nerede olduğunu öğrenmek amacıyla başvurdukları birçok uygulamanın aslında cihazlarından kötü niyetli biri ya da birilerine bilgi sızdırmak için üretilmiş olabileceğini hatırlatarak sıra dışı vaatlerde bulunan uygulamaları kullanmadan önce iki kere düşünülmesini öneriyor.
