Bitdefender Antivirüs’ün güvenlik araştırmacıları tarafından geçtiğimiz yıl keşfedilen Triout casus yazılımı yeniden ortaya çıktı. Popüler uygulamaları kullanarak cihazlara sızan ve hedefli casusluk saldırıları düzenlemek amacıyla üretildiği düşünülen Triout, telefon görüşmeleri, mesajlar, fotoğraflar, videolar ve lokasyonlar gibi bilgileri ele geçirerek siber saldırganların yönettiği bir sunucuya yönlendiriyor. En son 7 Aralık 2018’de aktif gözüken yazılımın varlığını tekrar tespit eden Bitdefender Antivirüs araştırmacıları, yazılımın artık (Psiphon) “com.psiphon3” isimli proxy uygulamasıyla yayıldığını belirterek gizlenme kabiliyeti oldukça yüksek olan Triout’a karşı uyarıyor.

Engelli bazı web sitelerine giriş sağlayan popüler bir uygulama olan ve bir öncekiyle aynı kötü niyetli yazılım kökünü barındıran Psiphon uygulamasının şimdiye kadar 50 milyondan fazla indirildiği ve çoğu pozitif olmak üzere 1 milyondan fazla yoruma sahip olduğu biliniyor.

Google Play’e ulaşılamayan yerlerde üçüncü parti mağazalar üzerinden de yayılan Psiphon, siber saldırganlara gelir yaratmak adına Google Ads, Inmobi Ads ve Mopub Ads olmak üzere üç reklam yazılımını da kapsıyor. Kullanıcılara daha fazla gizlilik imkanı vaat eden bu uygulamanın Triout yazılımıyla paketlenerek amacına tamamen zıt şekilde hareket etmesi, siber saldırganların kullanıcıların gizlilik isteğini bir yem olarak kullandığına işaret ediyor.

Yazılımdan etkilenen yeni uygulamayı ilk olarak 11 Ekim 2018’de fark ettiklerini dile getiren Bitdefender Antivirüs araştırmacıları, uygulamanın 2 Mayıs 2018’den 7 Aralık 2018’e kadar aktif olduğunu gözlemlediklerini belirtiyor.

Yeni Triout’taki farklılık ise tehdit aktörlerinin emir ve kontrol mekanizması olarak kullandıkları sunucuyu değiştirmiş olmaları. 188.165.49.205 IP adresine sahip bu sunucu, aktifliğini hala sürdürerek ciddi tehlike yaratırken çeşitli ürünler ile ilgili indirimler sunan Fransa merkezli bir web sitesine yönlendirme yapıyor. Sitenin en başından beri siber saldırganlara ait olduğu ya da ele geçirilip geçirilmediği ise henüz bilinmiyor.

Kullanıcıların engelli bir web sitesine erişim gibi yasak olan ama onlara zararsız gibi görünen işlemleri yapmak için çeşitli üçüncü parti uygulamalar kullanmasının yanlış olabileceği dile getirildi.

Paylaş