BAE Kullanıcıları Hedefte: ESET, Signal ve ToTok Kılığına Giren Casus Yazılımları Tespit Etti
ESET Research, BAE’de iki yeni Android casus yazılım kampanyası tespit etti.
Siber güvenlik lideri ESET Research, Birleşik Arap Emirlikleri’nde (BAE) faaliyet gösteren ve mesajlaşma uygulamaları kılığına girerek kullanıcı verilerini sızdıran iki yeni Android casus yazılım kampanyası tespit etti. Araştırmada, daha önce belgelenmemiş iki farklı kötü amaçlı yazılım ailesi olan Android/Spy.ProSpy ve Android/Spy.ToSpy keşfedildi.
Bu casus yazılımlar, Signal ve ToTok uygulamalarını taklit eden sahte web siteleri üzerinden dağıtılıyor. ESET uzmanları, bu kampanyaların kullanıcıların kişisel verilerini hedef aldığını ve aktif olarak yayılmaya devam ettiğini belirtiyor.
ESET araştırmacısı Lukáš Štefanko, konuyla ilgili yaptığı açıklamada, “Casus yazılım içeren uygulamaların hiçbiri resmî mağazalarda yer almıyor. Kullanıcılar, genellikle meşru hizmetleri taklit eden üçüncü taraf sitelerden manuel olarak yükleme yapmaya yönlendiriliyor” ifadelerini kullandı.
ToSpy ve ProSpy Aktif: Samsung Galaxy Store’u Taklit Eden Siteler Kullanılıyor
ESET, sahte uygulamaların Samsung Galaxy Store benzeri web siteleri aracılığıyla dağıtıldığını ortaya koydu. Kullanıcılar bu platformlardan indirilen “güncelleme” veya “eklenti” görünümlü dosyaları yüklediklerinde, kötü amaçlı yazılım cihazda kalıcılığını koruyor ve gizlice veri sızdırmaya başlıyor.
Haziran 2025’te keşfedilen ProSpy kampanyası, 2024 yılından bu yana aktif durumda. Signal Encryption Plugin ve ToTok Pro adlarını kullanan sahte APK dosyaları üzerinden yayılan saldırılar, cihazdaki kişiler, mesajlar, medya dosyaları ve yedeklemelere erişim sağlıyor.
ToSpy adlı casus yazılım ailesi ise, ToTok uygulamasının geliştirilmiş bir sürümü gibi davranarak kullanıcıyı aldatıyor. ESET’in telemetri verilerine göre kampanya, 2022 yılından bu yana aktif ve BAE merkezli cihazlardan veri topluyor.
Kapsamlı Veri Sızdırma ve Sürekli Gözetim
Her iki casus yazılım da cihazın kişi listesi, kısa mesajları, görüntüler, belgeler ve videolar gibi geniş bir veri yelpazesine erişim sağlıyor. Bu bilgiler daha sonra komuta ve kontrol (C&C) sunucularına iletiliyor.
ESET araştırmasına göre, “ae.net” uzantılı alan adlarının kullanımı, saldırıların özellikle BAE vatandaşlarını hedef aldığını gösteriyor. Ayrıca kampanyalarda kimlik avı sayfaları ve sahte uygulama mağazaları stratejik biçimde bir araya getirilerek kullanıcı güvenliği sistematik biçimde ihlal ediliyor.
ESET Research, söz konusu operasyonların halen aktif olduğunu ve bölgesel odaklı, organize siber casusluk faaliyetleri kapsamında yürütüldüğünü belirtiyor.
Güvenlik Uyarısı: “Resmî Olmayan Kaynaklardan Uygulama İndirmeyin”
ESET araştırmacısı Lukáš Štefanko, kullanıcıları şu şekilde uyardı: “Kullanıcılar, resmî olmayan kaynaklardan uygulama indirirken ya da bilinmeyen kaynaklardan yüklemeyi etkinleştirirken dikkatli olmalı. Güvenilir hizmetleri taklit eden üçüncü taraf uygulamaları kesinlikle indirmemeli ve yalnızca resmî mağazaları tercih etmelidir.”
ESET’in son bulguları, siber güvenlik ile finansal teknolojiler arasındaki kırılgan sınırın giderek daraldığını bir kez daha ortaya koyuyor. Mobil mesajlaşma platformları, dijital kimlik ve doğrulama süreçlerinin temel parçası haline gelirken, bu sistemlerin hedef alınması sadece kişisel gizlilik riskini artırmakla kalmıyor, finansal işlem güvenliğini de zedeliyor. ESET’in tespit ettiği bu yeni saldırı modeli, gelişmekte olan bölgelerdeki kullanıcıların dijital güvenliğini tehdit eden politik ve ekonomik odaklı siber operasyonların artış eğiliminde olduğunu gösteriyor. Özellikle finansal işlemlerde mobil tabanlı doğrulama sistemlerinin yaygınlaşması, bu tür saldırılara karşı sıfır güven yaklaşımı (Zero Trust) stratejilerini zorunlu hale getiriyor.
