Kamran: Gilgit-Baltistan’da Urduca konuşanları etkileyen Android zararlı yazılımı

ESET araştırmacıları, Hunza News’in Urduca konuşan okuyucularını gözetleyen ve daha önce bilinmeyen zararlı yazılım Kamran ‘ı keşfetti

ESET araştırmacıları, Pakistan tarafından yönetilen tartışmalı bir bölge olan Gilgit-Baltistan hakkında haberler veren bölgesel bir haber web sitesine yönelik bir (watering-hole) suyun başı saldırısı tespit etti. Hunza News web sitesinin Urduca versiyonu bir mobil cihazda açıldığında, okuyuculara Hunza News Android uygulamasını doğrudan web sitesinden indirme imkânı sunuyor, ancak uygulama kötü niyetli casusluk yeteneklerine sahip. Daha önce bilinmeyen bu casus yazılıma, paket adı com.kamran.hunzanews olduğu için Kamran adını verdik. Kamran, Pakistan’da ve Urduca konuşulan diğer bölgelerde yaygın olarak verilen bir isimdir; Gilgit-Baltistan’daki bazı azınlıklar tarafından konuşulan Farsça’da talihli ya da şanslı anlamına gelmektedir.

Hunza News web sitesinin İngilizce ve Urduca versiyonları bulunuyor; İngilizce mobil versiyonu indirmek için herhangi bir uygulama sağlamaz. Ancak, mobil Urduca versiyonu Android casus yazılımını indirmeyi önerir. Hem İngilizce hem de Urduca masaüstü sürümlerinin de Android casus yazılımını sunduğunu belirtmek gerekir; ancak bu yazılım masaüstü işletim sistemleriyle uyumlu değildir. Android zararlı yazılımı ile ilgili olarak web sitesine ulaştık. Ancak, blog yazımızın yayınlanmasından önce herhangi bir yanıt alamadık.

Kamran, raporun kilit noktaları:

• Kamran adını verdiğimiz Android casus yazılımı, Hunza News web sitesine olası bir su kuyusu saldırısı yoluyla dağıtıldı.
• Zararlı yazılım sadece Pakistan tarafından yönetilen Gilgit-Baltistan bölgesindeki Urduca konuşan kullanıcıları hedef alıyor.
• Kamran casus yazılımı Hunza News web sitesinin içeriğini görüntüler ve özel kötü amaçlı kod içerir.
• Araştırmalarımız en az 20 mobil cihazın tehlikeye atıldığını gösteriyor.

Kötü amaçlı uygulama başlatıldığında, kullanıcıdan çeşitli verilere erişim izni vermesini ister. Kabul edilmesi halinde kişiler, takvim etkinlikleri, arama kayıtları, konum bilgileri, cihaz dosyaları, SMS mesajları, resimler vb. hakkında veri toplar. Bu kötü amaçlı uygulama hiçbir zaman Google Play mağazası aracılığıyla sunulmadığından ve Google tarafından Bilinmeyen olarak adlandırılan tanımlanamayan bir kaynaktan indirildiğinden, bu uygulamayı yüklemek için kullanıcıdan bilinmeyen kaynaklardan uygulama yükleme seçeneğini etkinleştirmesi istenir.

Kötü amaçlı uygulama web sitesinde 7 Ocak 2023 ile 21 Mart 2023 tarihleri arasında ortaya çıkmıştır; kötü amaçlı uygulamanın geliştirici sertifikası 10 Ocak 2023 tarihinde verilmiştir. Bu süre zarfında Gilgit-Baltistan’da toprak hakları, vergilendirme endişeleri, uzun süreli elektrik kesintileri ve sübvansiyonlu buğday tedarikinin azalması gibi çeşitli nedenlerle protestolar düzenleniyordu. Haritada gösterilen bölge Şekil 1Pakistan’ın idari yönetimi altında bulunan Keşmir bölgesi, 1947’den beri Hindistan ve Pakistan arasında, 1959’dan beri de Hindistan ve Çin arasında anlaşmazlık konusu olan büyük Keşmir bölgesinin kuzey kısmını kapsamaktadır.

KAMRAN GENEL BAKIŞ

Hunza News, muhtemelen adını Hunza Bölgesi veya Hunza Vadisi’nden alan, Gilgit-Baltistan bölgesiyle ilgili haberler veren bir çevrimiçi gazetedir. 

Yaklaşık 1,5 milyon nüfusa sahip olan bölge, başta K2 olmak üzere saygın “sekiz binlik” (deniz seviyesinden 8.000 metreden daha yüksekte zirve yapan dağlar) dağlardan beşine ev sahipliği yaparak dünyanın en yüksek dağlarından bazılarının varlığıyla ünlüdür ve bu nedenle uluslararası turistler, trekkingciler ve dağcılar tarafından sıklıkla ziyaret edilmektedir. ABD ve Kanada, 2023 baharındaki protestolar ve Eylül 2023’te gerçekleşecek ek protestolar nedeniyle bu bölge için seyahat tavsiyeleri yayınladı ve Almanya turistlerin mevcut durum hakkında bilgi sahibi olmalarını önerdi.

Gilgit-Baltistan, Pakistan ve Çin’i birbirine bağlayan tek karayolu olan Karakoram Otoyolu nedeniyle de önemli bir kavşak noktasıdır; zira bu yol Çin’in Umman Denizi’ne ulaşarak ticaret ve enerji geçişini kolaylaştırmasını sağlamaktadır. Otoyolun Pakistan kısmı şu anda yeniden inşa edilmekte ve iyileştirilmektedir; çalışmalar hem Pakistan hem de Çin tarafından finanse edilmektedir. Otoyol, hava koşulları ya da protestoların yol açtığı hasarlar nedeniyle sık sık tıkanmaktadır.

Hunza News web sitesi iki dilde içerik sağlamaktadır: İngilizce ve Urduca. Urduca, İngilizcenin yanı sıra Pakistan’da ulusal dil statüsüne sahiptir ve Gilgit-Baltistan’da etnik gruplar arası iletişim için ortak veya köprü dil olarak hizmet vermektedir. Hunza News’in resmi alan adı hunzanews.net olarak kayıtlı. 22 Mayıs 2017 tarihinde kurulmuştur ve hunzanews.net İnternet Arşivi verilerine göre o tarihten bu yana sürekli olarak çevrimiçi makaleler yayınlamaktadır.

2022’den önce bu çevrimiçi gazete, sitenin Facebook sayfasındaki sayfa şeffaflık bilgilerinde belirtildiği gibi hunzanews.com adlı başka bir alan adını da kullanmıştır (bkz. Şekil 2) ve hunzanews.com‘un İnternet Arşivi kayıtları. İnternet Arşivi verileri ayrıca hunzanews.com’un 2013’ten beri haber sunduğunu göstermektedir; dolayısıyla, bu çevrimiçi gazete yaklaşık beş yıl boyunca iki web sitesi üzerinden makale yayınlamıştır: hunzanews.net ve hunzanews.com. Bu aynı zamanda bu çevrimiçi gazetenin 10 yılı aşkın bir süredir aktif olduğu ve çevrimiçi okuyucu kitlesi kazandığı anlamına gelmektedir.

2015 yılında hunzanews.com, aşağıda gösterildiği gibi yasal bir Android uygulaması sunmaya başladı ve Google Play mağazasında mevcuttu. Mevcut verilere dayanarak bu uygulamanın iki versiyonunun yayınlandığını ve ikisinin de kötü niyetli işlevler içermediğini düşünüyoruz. Bu uygulamaların amacı web sitesi içeriğini okuyuculara kullanıcı dostu bir şekilde sunmaktı. 

2022’nin ikinci yarısında, yeni web sitesi hunzanews.net, Android uygulamasını Google Play’den indirme seçeneğinin kaldırılması da dahil olmak üzere görsel güncellemelerden geçti. Ayrıca, resmi uygulama, muhtemelen en son Android işletim sistemleriyle uyumsuzluğu nedeniyle Google Play mağazasından kaldırıldı. 

En azından Aralık 2022’den Ocak 7 2023‘e kadar birkaç hafta boyunca web sitesi, aşağıda gösterildiği gibi resmi mobil uygulamayı indirme seçeneği sunmamıştır.

Internet Archive kayıtlarına göre, en azından 21 Mart 2023 tarihinden bu yana, web sitesinin, aşağıda gösterildiği gibi, kullanıcıların UYGULAMAYI İNDİR düğmesiyle erişilebilen bir Android uygulaması indirme seçeneğini yeniden sunduğu açıktır. Uygulamanın web sitesinde yeniden göründüğü tarihi tam olarak belirlememize yardımcı olabilecek 7 Ocak ile 21 Mart 2023 tarihleri arasındaki döneme ait veri bulunmamaktadır.

Web sitesinin çeşitli versiyonlarını analiz ederken ilginç bir şeyle karşılaştık: web sitesini bir masaüstü tarayıcısında Hunza News’in herhangi bir dil versiyonunda – İngilizce (hunzanews.net) veya Urduca (urdu.hunzanews.net) – görüntülemek, web sayfasının üst kısmında APP İNDİR düğmesini belirgin bir şekilde görüntüler. İndirilen uygulama, bir masaüstü makineye yüklenemeyen ve onu tehlikeye atamayan yerel bir Android uygulamasıdır. 

Ancak, bir mobil cihazda bu düğme, aşağıda gösterildiği gibi yalnızca Urduca dil varyantında (urdu.hunzanews.net) görünür.

Kötü amaçlı uygulamanın özellikle web sitesine bir Android cihaz aracılığıyla erişen Urduca konuşan kullanıcıları hedef aldığını doğrulayabiliriz. Kötü amaçlı uygulama 2023’ün ilk çeyreğinden bu yana web sitesinde mevcuttur.

UYGULAMAYI İNDİR düğmesine tıklandığında https://hunzanews[.]net/wp-content/uploads/apk/app-release.apkadresinden bir indirme işlemi tetiklenir. Bu kötü amaçlı uygulama hiçbir zaman Google Play mağazası aracılığıyla sunulmadığından ve bu uygulamayı yüklemek için üçüncü taraf bir siteden indirildiğinden, kullanıcıdan bilinmeyen kaynaklardan uygulama yüklemek için varsayılan olmayan Android seçeneğini etkinleştirmesi istenir.

Hunza News adlı kötü amaçlı uygulama, Kamran adını verdiğimiz ve daha önce bilinmeyen bir casus yazılımdır. Kamran aşağıdaki bölüm. 

ESET Research, Kamran ile ilgili olarak Hunza News’e ulaştı. Blog yazımızın yayınlanmasından önce web sitesi tarafından herhangi bir geri bildirim veya yanıt almadık.

VİCTİMOLOJİ

Araştırmamızdan elde ettiğimiz bulgulara dayanarak, beşi Pakistan’da olmak üzere en az 22 tehlikeye etkilenmiş akıllı telefon tespit edebildik.

KAMRAN

Kamran, bilinen diğer casus yazılımlardan farklı olarak benzersiz kod bileşimiyle karakterize edilen, daha önce belgelenmemiş bir Android casus yazılımıdır. ESET bu casus yazılımı Android/Spy.Kamran olarak algılar.

Kamran’ı içeren kötü amaçlı uygulamanın yalnızca bir versiyonunu tespit ettik; bu versiyon Hunza News web sitesinden indirilebilen versiyondu. Açıklandığı gibi Genel Bakış bölümünde, uygulamanın Hunza News web sitesine yerleştirildiği kesin tarihi belirleyemiyoruz. Ancak, Android uygulamasını imzalamak için kullanılan ilgili geliştirici sertifikası (SHA-1 parmak izi: DCC1A353A178ABF4F441A5587E15644A388C9D9C) 10 Ocak 2023 tarihinde yayınlanmıştır. Bu tarih, kötü amaçlı uygulamanın oluşturulduğu en erken zaman için bir taban sağlar.

Buna karşılık, daha önce Google Play’de bulunan Hunza News’in yasal uygulamaları farklı bir geliştirici sertifikasıyla imzalanmıştır (SHA-1 parmak izi: BC2B7C4DF3B895BE4C7378D056792664FCEEC591). Bu temiz ve yasal uygulamalar, tespit edilen kötü amaçlı uygulama ile hiçbir kod benzerliği göstermemektedir.

Kamran başlatıldığında, kullanıcıdan kurbanın cihazında depolanan kişiler, takvim etkinlikleri, arama kayıtları, konum bilgileri, cihaz dosyaları, SMS mesajları ve resimler gibi çeşitli verilere erişim için izin vermesini ister. Ayrıca, Hunza News sosyal medya hesaplarını ziyaret etme ve hunzanews.net’in içeriğini yüklemek için İngilizce veya Urduca dilini seçme seçenekleri sunan bir kullanıcı arayüzü penceresi sunar.

Yukarıda belirtilen izinler verilirse, Kamran casus yazılımı otomatik olarak hassas kullanıcı verilerini toplar:

• SMS mesajları
• kişi listesi
• çağrı kayıtları
• takvim etkinlikleri
• cihaz konumu
• yüklü uygulamaların listesi
• alınan SMS mesajları
• cihaz bilgisi
• resimler

İlginç bir şekilde, Kamran cihazdaki erişilebilir görüntü dosyalarını tanımlar (aşağıda gösterildiği gibi), bu görüntülerin dosya yollarını elde eder ve bu verileri bir images_db veri tabanında depolar. Bu veri tabanı kötü amaçlı yazılımın dahili depolama alanında saklanır.

Görüntü dosyaları da dahil olmak üzere her türlü veri kodlanmış bir komuta ve kontrol (C&C) sunucusuna yüklenir. İlginç bir şekilde, operatörler C&C sunucusu olarak bir web platformu olan Firebase’i kullanmayı tercih etmişlerdir: https://[REDACTED].firebaseio[.]com. C&C sunucusu, platform bu teknoloji şirketi tarafından sağlandığı için Google’a bildirilmiştir.

Kötü amaçlı yazılımın uzaktan kontrol yeteneklerinin bulunmadığına dikkat etmek önemlidir. Sonuç olarak, kullanıcı verileri yalnızca kullanıcı uygulamayı açtığında HTTPS aracılığıyla Firebase C&C sunucusuna sızdırılır; uygulama kapalıyken veri sızdırma işlemi arka planda çalışamaz. Kamran’ın hangi verilerin sızdırıldığını takip eden bir mekanizması yoktur, bu nedenle aynı verileri ve arama kriterlerine uyan yeni verileri C&C’ye tekrar tekrar gönderir.

SONUÇ

Kamran, Gilgit-Baltistan bölgesinde Urduca konuşan insanları hedef alan ve daha önce bilinmeyen bir Android casus yazılımıdır. Araştırmamız, Kamran’ı içeren kötü niyetli uygulamanın en az 2023’ten beri Hunza News adlı yerel, çevrimiçi bir gazeteye muhtemelen bir sulama deliği saldırısı yoluyla dağıtıldığını gösteriyor.

Kamran, diğer Android casus yazılımlarından farklı olarak, bilinen herhangi bir gelişmiş kalıcı tehdit (APT) grubuyla ilişkilendirilmesini engelleyen benzersiz bir kod tabanı sergiliyor.

Bu araştırma ayrıca, uygulamaları yalnızca güvenilir ve resmi kaynaklardan indirmenin önemini göstermektedir. 

IOC’LER

Dosyalar

Şebeke

MITRE ATT&CK TEKNİKLERİ

Bu tablo MITRE ATT&CK çerçevesinin 13. sürümü kullanılarak oluşturulmuştur.

ESET APT Faaliyet Raporu D2-D3 2023’e de göz atmayı unutmayın.