Yaşanan salgın toplumsal mühendislik sistemlerinden yararlanan tehdit kümeleri tarafından sıklıkla kullanılan bir bahis haline geldi ve bugün hala kullanılmaya devam ediyor. Uzmanların dört yıldan fazla müddettir takip ettiği Transparent Tribe isimli tehdit kümesi da hücumlarında bu husustan sıkça faydalanıyor.

Elde edilen son bulgular, kümenin araç setini genişletmek ve taşınabilir aygıtlara erişmeye çalıştığını gösteriyor. Transparent Tribe kümesine yönelik araştırma sırasında, Kaspersky araştırmacıları tehdit kümesinin taşınabilir aygıtları gizlice izlemek için kullandığı yeni bir Android ziyanlı yazılımını keşfetti. Bu yazılım Hindistan’da porno içerikleri ve uydurma ulusal COVID-19 takip uygulamalarını taklit ediyordu. Bu iki uygulama ile küme ortasındaki ilgi, farklı taarruzlarda ziyanlı belgeleri saklamak için kullanılan alan isimlerinin birebir olmasıyla anlaşıldı.

Birinci uygulama, Android için açık kaynaklı bir görüntü oynatıcısının farklı bir sürümüydü. Uygulama kurulduğunda, dikkat çekmek için yetişkinlere yönelik görüntüler gösteriyordu. “Aarogya Setu” isimli öbür uygulama ise Hindistan Elektronik ve Bilgi Teknolojisi Bakanlığı bünyesindeki Ulusal Bilişim Merkezi’nin geliştirdiği COVID-19 takip uygulamasına benziyordu.

Her iki uygulama da kurulduklarında diğer bir Android belge paketini kurmaya çalışıyor. Bu paket, AhMyth isimli Android uzaktan erişim aracının yeni bir versiyonu. GitHub’dan indirilebilen açık kaynaklı bir ziyanlı yazılım olan AhMyth, yasal uygulamaların içine ziyanlı kısımlar ekleyerek geliştiriliyor.

Ziyanlı yazılımın yenilenen sürümü ise standart sürümden farklı fonksiyonlar gösteriyor. Saldırganların daha fazla data sızdırabilmesi için yeni özellikler taşıyan yazılımda kameradan fotoğraf çalma üzere temel özellikler ise yer almıyor. Bu uygulama telefona yeni uygulamalar indirebiliyor, SMS’lere, mikrofona ve arama kayıtlarına erişebiliyor, aygıtın pozisyonunu takip edebiliyor ve telefondan birtakım evrakları öbür bir sunucuya aktarabiliyor.

Şirketin Küresel Araştırma ve Tahlil Takımı Kıdemli Güvenlik Araştırmacısı Giampaolo Dedola, “Yeni bulgular Transparent Tribe üyelerinin yeni araçlarla operasyonlarını daha da genişletmeye çalıştığını ve taşınabilir aygıtlar da dahil olmak üzere kurbanlara farklı atak vektörlerinden yaklaştıklarını gösteriyor. Ayrıyeten kümenin kullandığı araçları daima geliştirmeye ve değiştirmeye çalıştığını da görüyoruz. Bu tıp tehditlerden korunmak için kullanıcıların içerik indirdikleri kaynaklara her zamankinden de fazla dikkat etmesi ve aygıtlarının korunduğundan emin olması gerekiyor. APT saldırısının gayesi olabileceğini bilenlerin buna itina göstermesi kural.” dedi.

Hürriyet