Bilgisayar korsanları, telefonları ve QR tabanlı oturum açma gibi kolaylık özelliklerini ele geçirerek mesajlaşma uygulamalarında kullanılan şifrelemeyi aşıyor. Son saldırı, yüksek değerli hedefleri hedef alıyor. Saldırılar, cihaz verilerini, kısa mesajları ve hatta ses kayıtlarını ele geçirdi. Kullandıkları teknikler kullanıcı etkileşimi gerektirmiyor ve yıllarca gizli kalabiliyor.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), bilgisayar korsanlarının belirli telefon ve hesap güvenlik açıklarını istismar eden ticari casus yazılımlarla Signal, WhatsApp ve diğer şifreli mesajlaşma uygulamalarını aktif olarak hedef aldığı konusunda uyarıyor . Uyarıda, genellikle ulus devletlerin kullandıklarına benzer ticari araçlar kullanılarak yüksek değerli kullanıcıları hedef alan kimlik avı girişimleri, uygulama kimliğine bürünme ve sıfır tıklama saldırıları açıklanıyor. CISA, hedeflerin arasında ABD, Avrupa ve Orta Doğu'daki üst düzey mevcut ve eski hükümet yetkilileri, askeri ve siyasi figürler ile sivil toplum kuruluşu üyelerinin yer aldığını belirtiyor.
Bu kampanyalar, nihai hedef yerine cihaza ilk erişimi bir başlangıç noktası olarak kullanır. Casus yazılım, telefona eriştiğinde yükleyici görevi görür, ek yükler yükler, ayrıcalıkları artırır ve kurbanın verileri ve faaliyetleri üzerinde uzun vadeli kontrol sağlar. CISA, bunu, devlet destekli grupların ve paralı siber şirketlerin, insanların modern mobil işletim sistemlerinden ve uçtan uca şifreli uygulamalardan beklediği savunmaları aşmayı amaçlayan araçlar sattığı daha geniş bir değişimin içine yerleştirir.
Uyarıda, saldırganların temelde aynı yaklaşıma sahip olduğu belirtiliyor. Uygulamaların şifrelemesini kırmaya çalışmak yerine, şifrelemeden önce veya sonra mesajları okumak için uygulama katmanını veya mobil işletim sistemini ele geçiriyorlar. Tipik dağıtım yöntemleri arasında kimlik avı bağlantıları, kötü amaçlı QR kodları ve Truva atı içeren uygulamalar yer alıyor ve bunlar genellikle kullanıcı etkileşimi olmadan tetiklenen sıfır tıklamalı saldırılarla birlikte kullanılıyor.
Casus yazılım yüklendikten sonra sohbet geçmişlerine ve canlı mesajlara erişebilir, kayıtları ve dosyaları yakalayabilir ve bazı durumlarda telefonu genel bir gözetleme cihazına dönüştürerek konum verilerini, arama kayıtlarını, kişileri ve diğer belgeleri toplayabilir. CISA'nın açıkladığı bir teknik, mesajlaşma uygulamalarının birden fazla cihazda oturum açmak için kullandığı cihaz bağlama ve QR tabanlı kimlik doğrulamayı kötüye kullanmayı içeriyor. Saldırganlar, standart bir oturum açma veya bağlantı adımını taklit eden değiştirilmiş QR kodları göndererek, bir telefonu kontrol ettikleri sistemlerle eşleşmeye zorlayabilir.
Bu eşleştirme, saldırganların cihazlarını kurbanın hesabına yetkili bir uç nokta olarak eklemelerine, altta yatan şifrelemeyi bozmadan veya hesabı gözle görülür şekilde ele geçirmeden yeni mesajları sessizce kopyalamalarına olanak tanır. Aynı işlemler, kimlik avı ve güvenilir uygulama ve hizmetlerin sahte güncellemelerini veya kopyalarını yüklemeye de dayanır. Bilgisayar korsanları, kötü amaçlı uygulamalarını, meşru görünmek için tanıdık markalar ve arayüzler kullanan bağlantılar, taklit web siteleri ve resmi olmayan mağazalar aracılığıyla dağıtır.
Sahte uygulamalar, mesajlaşma verilerini, mikrofon kayıtlarını, kayıtlı dosyaları, fotoğrafları ve sistem bilgilerini ifşa ederek gözetleme araçları olarak işlev görür ve operatörlerin kullanıcıyı takip edip profilini oluşturmasına yardımcı olur. CISA ayrıca sıfır tıklama güvenlik açıklarını da vurgular. Saldırganlar, çeşitli uygulamalardaki veya cihazın işletim sistemindeki ayrıştırma hatalarından yararlanan, özenle hazırlanmış mesajlar veya kötü amaçlı medyalar kullanarak keyfi kodlar çalıştırabilir. Kötü amaçlı yazılım, kullanıcı etkileşimi olmadan arka planda çalıştığı için, saldırının tespit edilmesi son derece zordur ve bu da onu, yüksek profilli hedeflerin sessiz ve uzun vadeli izlenmesi için ideal hale getirir.
Kaynak :
https://www.techspot.com/news/110395-ne ... ignal.html
