Citizen Lab ve First Department tarafından yakın zamanda yapılan bir araştırma, kötü şöhretli Monokle ailesine benzeyen casus yazılımın, gözaltına alınmasının ardından bir Rus programcıya iade edilen bir cihaza yerleştirildiğini ortaya çıkardı. Rus devlet destekli kuruluşlarla bağlantılı olan kötü amaçlı yazılım, gelişmiş gözetleme yetenekleri sergiliyor ve hedefli casusluk için kullanımı konusunda endişelere yol açıyor.
İlk olarak 2019 yılında Lookout Security tarafından tanımlanan Monokle casus yazılımı, Rus hükümetine bağlı St. Petersburg merkezli bir müteahhit olan Özel Teknoloji Merkezi'ne (STC) atfedildi. Bu değiştirilmiş casus yazılımın keşfi, Rus istihbarat teşkilatları tarafından hedefli gözetleme operasyonları için, özellikle de politik olarak muhalif olarak algılanan kişilere karşı kullanılmaya devam ettiğine dair şüpheleri güçlendiriyor.
Monokle ile temel örtüşmeler arasında paylaşılan komuta ve kontrol (C2) yapıları, kod bölümleri ve gelişmiş gözetim için erişilebilirlik ayarlarının kullanılması gibi teknikler yer alır. Ancak, güncellenmiş şifreleme mekanizmaları gibi bazı farklılıklar, Monokle'ın evrimini veya kod tabanının yeni bir araç için yeniden kullanılmasını önermektedir.
Yeni casus yazılım türünün keşfi
Olay, Ukrayna'ya para transfer etmekle suçlanan Rus bir programcı olan Kirill Parubets'in etrafında dönüyor. Rusya Federal Güvenlik Servisi (FSB) tarafından gözaltına alınmasının ardından, zorlama ve dayaklara maruz kaldıktan sonra, Parubets'in Android cihazı müsadere edildi. Cihaz geri verildiğinde, yetkisiz aktiviteye işaret eden bildirimler de dahil olmak üzere şüpheli davranışlar gözlemlendi. First Department (bir hukuk savunucusu grubu) ve Citizen Lab tarafından yapılan adli soruşturma , cihazın truva atı içeren bir uygulama ile tehlikeye atıldığını tespit etti.Söz konusu uygulama, telefon görüşmelerini ve mesajlaşma uygulaması iletişimlerini kaydetmek için bir Google Play Store uygulaması olan meşru Cube Call Recorder uygulamasını taklit ediyordu. Ancak, bu sürüm gizli gözetim için tasarlanmış kötü amaçlı değişiklikler içeriyordu.
Monokle'nin güncellenmiş bir çeşidi veya türevi olduğundan şüphelenilen casus yazılım, kapsamlı cihaz izleme ve veri sızdırma için tasarlanmış geniş bir yelpazede gelişmiş yetenekler sergiliyor. Temel işlevler şunları içerir:
- Konum Takibi : Uygulama aktif olarak kullanılmadığında bile hedefin hassas hareketlerini gerçek zamanlı olarak izler.
- Ekran Kaydı ve Tuş Kaydı : Ekran etkinliğini ve tuş vuruşlarını yakalar, saldırganların parolalar veya özel görüşmeler gibi hassas bilgileri toplamasına olanak tanır.
- Çağrı ve Mesaj İzleme : Telefon görüşmelerini kaydeder, kısa mesajlara erişir ve Signal veya WhatsApp gibi şifreli uygulamalardan gelen mesajları alır.
- Dosya ve Veri Çıkarımı : Saklanan dosyaları, fotoğrafları ve videoları toplar ve cihazdan oturum açma kimlik bilgilerini çıkarır.
- Uzaktan Kontrol Yetenekleri : Saldırganların kamerayı veya mikrofonu etkinleştirmesine, ek yazılım yüklemesine ve komutları yürütmesine olanak tanır.
- Coğrafi Sınırlama ve Cihaz Yönetimi : Bir kullanıcının konumuna göre eylemleri izlemek veya tetiklemek için coğrafi sınırlama kuralları ekler ve kalıcı kontrol için kendisini bir cihaz yöneticisi olarak belirler.
Hedeflenen bireylere yönelik öneriler
Devlet gözetimine maruz kalma riskiniz yüksekse, insan hakları ve ifade özgürlüğü savunucusuysanız veya otoriter rejimlerle yönetilen ülkelerde siyasi olarak aktif bir bireyseniz, cihazınızı ve uygulamalarınızı düzenli olarak güncellemeli, yalnızca gerekli olan asgari sayıda uygulamayı kullanmalı, izinlerini incelemeli ve saygın tedarikçilerden mobil güvenlik araçları kullanmalısınız.Tutuklanma veya benzeri bir durumda akıllı telefonunuzun fiziksel velayetini kaybettiyseniz, el konulmasından sonra iade ettikten sonra yenisini alın. Mümkün değilse, üzerine casus yazılım yerleştirilmediğinden emin olmak için cihazın profesyonel bir analizini yaptırın.
