Siber güvenlik şirketi ESET, Pakistan’daki bireyleri hedef alan ve romantik dolandırıcılık teması üzerinden ilerleyen bir Android casus yazılım kampanyasını ortaya çıkardı. Kampanya, kullanıcıları sahte bir arkadaşlık uygulaması aracılığıyla kandırarak mobil cihazlara kötü amaçlı yazılım yüklemeyi amaçlıyor.
ESET araştırmacılarına göre saldırganlar, WhatsApp sohbeti başlatmaya olanak tanıyan bir platform gibi görünen ancak arka planda casusluk faaliyeti yürüten “GhostChat” adlı kötü amaçlı uygulamayı yem olarak kullanıyor. Kampanya, yalnızca mobil cihazlarla sınırlı kalmayıp masaüstü sistemleri ve WhatsApp hesaplarını da hedef alan daha geniş bir gözetleme altyapısının parçası olarak değerlendiriliyor.
Sahte Arkadaşlık Uygulaması Nasıl Çalışıyor?
GhostChat, meşru bir arkadaşlık uygulamasının simgesini ve arayüzünü taklit ediyor. Ancak uygulama, orijinal işlevselliğe sahip değil ve temel amacı kullanıcıyı WhatsApp üzerinden belirli numaralarla sohbet başlatmaya yönlendirmek.
Uygulama içerisinde 14 adet kadın profili sunuluyor. Bu profillerin tamamı Pakistan ülke koduna (+92) sahip WhatsApp numaralarıyla ilişkilendirilmiş durumda. Yerel numaraların kullanılması, profillerin gerçek kişiler olduğu izlenimini güçlendirerek sosyal mühendislik sürecini destekliyor. Profillere erişim için şifre istenmesi ise seçilmişlik algısı yaratan bir aldatma yöntemi olarak öne çıkıyor.
ESET araştırmacısı Lukáš Štefanko, şifrelerin uygulama içerisine sabit olarak kodlandığını ve bunun yalnızca kurbanları manipüle etmeye yönelik bir teknik olduğunu belirtiyor.
Arka Planda Yürütülen Casusluk Faaliyetleri
GhostChat, kullanıcı uygulamayı açmadan veya WhatsApp yönlendirmesine geçmeden önce arka planda çalışmaya başlıyor. Casus yazılım, cihazdaki etkinlikleri izleyerek hassas verileri komuta ve kontrol (C&C) sunucularına aktarıyor.
Buna ek olarak uygulama:
- Yeni oluşturulan görselleri tespit ederek otomatik olarak yüklüyor
- Her beş dakikada bir cihazdaki yeni belgeleri tarıyor
- Sürekli veri toplama ve gözetim sağlıyor
Bu davranışlar, uygulamanın yalnızca ilk enfeksiyon aşamasıyla sınırlı kalmadığını; aktif ve sürekli bir izleme mekanizması sunduğunu gösteriyor.
ClickFix ve WhatsApp Hesap Ele Geçirme Bağlantısı
Araştırma, GhostChat kampanyasının ClickFix saldırıları ve WhatsApp cihaz bağlama istismarlarıyla bağlantılı olduğunu ortaya koyuyor. Bu operasyonlarda, Pakistan’daki devlet kurumlarını taklit eden sahte web siteleri kullanıldı.
ClickFix tekniği, kullanıcıları görünürde meşru talimatları takip ederek kötü amaçlı kodu manuel olarak çalıştırmaya yönlendiriyor. Bu yöntem, özellikle güvenlik yazılımlarını atlatmayı hedefleyen sosyal mühendislik tabanlı bir saldırı modeli olarak dikkat çekiyor.
GhostPairing: WhatsApp Üzerinden Gözetim
Mobil hedeflere yönelik bir diğer saldırı tekniği ise “GhostPairing” olarak adlandırılıyor. Bu yöntemde kurbanlar, Pakistan Savunma Bakanlığı’na ait bir topluluk izlenimi veren sahte kanallar aracılığıyla WhatsApp Web veya Desktop bağlantısı kurmaya ikna ediliyor.
QR kod tabanlı bu cihaz bağlama yöntemi sayesinde saldırganlar, kurbanların sohbet geçmişine ve kişiler listesine erişebiliyor. Bu da saldırganlara, hesap sahibiyle aynı düzeyde görünürlük ve kontrol sağlıyor.
Dağıtım ve Koruma Durumu
GhostChat uygulaması Google Play Store’da yer almıyor ve bilinmeyen kaynaklardan manuel olarak yükleniyor. ESET’e göre, Google Play Protect varsayılan ayarlarla etkinleştirildiğinde bu uygulamaya karşı koruma sağlıyor.
