Android kullanıcıları, Rus siber casusluk grubu Gamaredon tarafından geliştirilen yeni casus yazılımlar “BoneSpy” ve “PlainGnome” ile hedef alınıyor. Bu yazılımlar, mobil cihazlardan veri çalmak ve kullanıcıları gözetlemek için tasarlandı.
BoneSpy ve PlainGnome Nedir?
Lookout güvenlik araştırmacılarının keşfettiği bu iki yazılım, özellikle eski Sovyet ülkelerindeki Rusça konuşan bireyleri hedef alıyor. BoneSpy, ilk kez 2021’de ortaya çıktı ve açık kaynaklı bir gözetim uygulaması olan DroidWatcher temel alınarak geliştirildi. PlainGnome se 2024 yılında tanıtılan ve tamamen özel bir kod yapısına sahip yeni bir casus yazılım olarak ortaya çıktı.
BoneSpy’in özellikleri şu şekildedir;
- SMS mesajlarını toplar.
- Çevresel sesleri ve telefon görüşmelerini kaydeder.
- GPS ve hücresel konum verilerini izler.
- Kamera ve ekran görüntüleri alır.
- Web tarama geçmişini inceler.
- Kişi listesi ve çağrı kayıtlarını çalar.
- Panoya kopyalanan içeriklere erişir.
- Bildirimleri okur.
BoneSpy genellikle sahte Telegram uygulamaları veya Samsung Knox yöneticisi kılığına bürünerek dağıtılır.
PlainGnome’un özellikleri şu şekildedir;
- İki aşamalı yükleme süreci sayesinde daha gizli çalışır.
- Cihaz boşta olduğunda veya ekran kapalıyken veri aktarımını başlatır.
- BoneSpy’in tüm özelliklerini sunmanın yanı sıra, Jetpack WorkManager gibi modern Android araçlarıyla donatılmıştır.
Bu gelişmiş özellikler, PlainGnome’un tespit edilmesini zorlaştırır ve daha geniş bir gözetim yeteneği sağlar. Ancak, şu an için herhangi bir kod karmaşıklığına sahip olmaması, güvenlik araştırmacılarının yazılımı analiz etmesini kolaylaştırıyor.
BoneSpy ve PlainGnome, Google Play’de bulunmadığından, kullanıcılar bu zararlı yazılımları sosyal mühendislik teknikleriyle kandırılarak üçüncü taraf web sitelerinden indiriyor. Yazılımlar, iletişim uygulaması gibi göründüğünden, tehlikeli izin talepleri genellikle kullanıcılar tarafından fark edilmeden kabul ediliyor.
Rusya’nın Federal Güvenlik Servisi (FSB) ile bağlantılı olan Gamaredon grubu, uzun yıllardır çeşitli kötü amaçlı yazılımlar geliştirmiş olsa da, bu ilk defa mobil cihazları doğrudan hedef aldığı bir operasyon olarak dikkat çekiyor. Araştırmacılar, grubun mobil cihazlara artan ilgisini, dijital yaşamın her alanında kullanılan akıllı telefonların stratejik bir hedef haline gelmesine bağlıyor.
Google, BleepingComputer’a yaptığı açıklamada, Google Play Protect’in bilinen tüm yazılım sürümlerine karşı otomatik koruma sağladığını belirtti. Ancak, kullanıcıların yalnızca resmi Google Play mağazasından uygulama indirmeleri ve izin taleplerine dikkat etmeleri tavsiye ediliyor.