Haber Sitesinden Yayılan Casus Yazılım

ESET araştırmacıları, Pakistan tarafından yönetilen bir bölge olan Gilgit-Baltistan hakkında haberler sunan bölgesel bir haber web sitesine yönelik bir watering-hole (suyun başı) saldırısı tespit etti. Kötü amaçlı uygulama, kullanıcıdan çeşitli bilgilere erişim izni vermesini istiyor. Kabul edilirse, kişiler, takvim etkinlikleri, arama günlükleri, konum bilgileri, cihaz dosyaları, SMS mesajları ve resimler hakkında veri topluyor.

Gilgit-Baltistan, Hindistan ve Pakistan’ın (1947’den beri) yanı sıra Hindistan ve Çin (1959’dan beri) arasında uzun süredir devam eden anlaşmazlıklara karışmış olan büyük Keşmir bölgesinin kuzey bölgesinden oluşmaktadır. Watering-hole saldırıları, sık ziyaret edilen bir web sitesinin kötü amaçlı yazılım sunmak üzere tehlikeye atıldığı bir tehdit türü olarak tanımlanıyor. Hunza News web sitesinin Urduca versiyonu bir mobil cihazda açıldığında okuyuculara Hunza News Android uygulamasını doğrudan web sitesinden indirme imkânı sunuyor; ancak uygulama kötü niyetli casusluk yeteneklerine sahip. Urduca, bu tartışmalı bölgede etnik gruplar arası iletişim için kullanılan resmi ve ana iletişim dili. ESET, daha önce bilinmeyen bu casus yazılıma Kamran adını verdi.

Kamran kelimesi, ESET tarafından paket adı “com.kamran.hunzanews” olması nedeniyle bu casus yazılımı adlandırmak için kullanıldı. Kamran, Pakistan’da ve Urduca konuşulan diğer bölgelerde yaygın olarak verilen bir isim; Gilgit-Baltistan’daki bazı azınlıklar tarafından konuşulan Farsça’da talihli veya şanslı anlamına geliyor.

İngilizce bölgede konuşulan ikinci resmi dil ve Hunza News web sitesinin hem İngilizce hem de Urduca versiyonları bulunuyor. İngilizce mobil versiyonu indirmek için herhangi bir uygulama sunmuyor. Sadece Urduca mobil versiyon söz konusu Android casus yazılımını indirmeyi teklif ediyor. İngilizce ve Urduca masaüstü sürümleri de Android casus yazılımını sunuyor fakat uygulama masaüstü işletim sistemleriyle uyumlu değil. ESET Research, Kamran ile ilgili olarak Hunza News’e ulaştı ancak web sitesi bu araştırmanın yayınlanmasından önce herhangi bir yanıt vermedi.

Kamran casus yazılımı Hunza News web sitesinin içeriğini görüntülüyor ve  kötü amaçlı kod içeriyor. Kötü amaçlı uygulama başlatıldığında, kullanıcıdan çeşitli bilgilere erişim izni vermesini istiyor. Kabul edilirse, kişiler, takvim etkinlikleri, arama günlükleri, konum bilgileri, cihaz dosyaları, SMS mesajları, resimler vb. hakkında veri toplamaya başlıyor. Uygulamaya istenen izinler verilirse, Kamran bu hassas kullanıcı verilerini otomatik olarak topluyor ve kodlanmış bir komuta ve kontrol (C&C) sunucusuna yüklüyor. ESET, beşi Pakistan’da olmak üzere en az 22 tehlikeye atılmış akıllı telefon tespit edebildi.

Kötü amaçlı uygulama web sitesinde 7 Ocak 2023 ile 21 Mart 2023 tarihleri arasında ortaya çıktı. Kötü amaçlı uygulamanın geliştirici sertifikası 10 Ocak 2023 tarihinde verildi. Bu süre zarfında Gilgit-Baltistan’da toprak hakları, vergilendirme endişeleri, uzun süreli elektrik kesintileri ve sübvansiyonlu buğday tedarikinin azalması gibi çeşitli nedenlerle protestolar düzenleniyordu.

Kamran casus yazılımını keşfeden ESET araştırmacısı Lukáš Štefanko şunları söyledi:

“Kötü amaçlı uygulamanın özellikle Android cihazlar üzerinden web sitesine erişen Urduca konuşan kullanıcıları hedef aldığını teyit edebiliriz. Bununla birlikte, Kamran diğer Android casus yazılımlarından farklı olarak benzersiz bir kod tabanı sergilediğinden, bu, bilinen herhangi bir gelişmiş kalıcı tehdit – APT – grubuna atfedilmesini önlüyor. Bu casus yazılım, uygulamaları yalnızca güvenilir ve resmi kaynaklardan indirmenin önemini bir kez daha gösteriyor.”

Hunza News, muhtemelen adını Hunza Bölgesi veya Hunza Vadisi’nden alan, Gilgit-Baltistan bölgesiyle ilgili haberler sunan bir çevrimiçi gazete. İnternet arşiv verileri, sitenin 2013 yılından bu yana haber sunduğunu gösteriyor. Hunza News, 2015 yılında Google Play Store’da bulunan yasal bir Android uygulaması sunmaya başlamıştır. ESET Research, mevcut verilere dayanarak bu uygulamanın Google Play’de iki sürümünün yayınlandığını ve hiçbirinin kötü amaçlı işlevsellik içermediğini düşünüyor.