Son analizler, Intellexa’nın Predator adlı paralı casus yazılımının, Android ve iOS platformlarında kritik sıfır-gün açıkları kullanarak gizlice veri topladığını ortaya koydu. Bu yazılım, hedef cihazlarda mesajlaşma uygulamalarından aramalara, ekran görüntülerinden mikrofon ve kamera erişimine kadar geniş çaplı gözetim yeteneklerine sahip.
Saldırı Zinciri ve Teknik Detaylar
Predator saldırıları genellikle hedefin kötü amaçlı bağlantıya tıklamasıyla başlıyor. Bu bağlantılar, Google Chrome ve Apple Safari tarayıcılarındaki çeşitli sıfır-gün açıkları (örneğin CVE-2025-48543, CVE-2023-41993, CVE-2023-41991) kullanılarak cihazda ilk erişimi sağlıyor. Ardından PREYHUNTER adlı üçüncü aşama yük devreye giriyor; bu modül, VoIP görüşmelerini kaydetmek, tuş kaydedici çalıştırmak ve kameradan fotoğraf çekmek gibi işlevleri yerine getiriyor.
Öne çıkan teknik detaylar arasında, Intellexa’nın V8 JavaScript motorundaki tip karışıklığı ve use-after-free açıklarını (örneğin CVE-2023-4762, CVE-2023-3079) istismar etmek için özel çerçeveler geliştirmesi bulunuyor. Ayrıca, Apple’ın WebKit ve kernel bileşenlerindeki kritik açıklar da hedefleniyor.
Reklam Tabanlı Sıfır Tıklama Saldırıları
Intellexa, Aladdin adlı sistemle mobil reklam ekosistemini kötüye kullanarak sıfır tıklama saldırıları gerçekleştiriyor. Bu yöntem, hedefin herhangi bir web sitesinde gösterilen kötü amaçlı reklam yoluyla enfekte edilmesini sağlıyor. Google Tehdit İstihbarat Grubu, bu reklamların kullanıcıları parmak iziyle tanımlayıp Predator’ın teslim sunucularına yönlendirdiğini belirtiyor.
Ağ Enjeksiyonu ve Ortadaki Adam Saldırıları
Mars ve Jupiter adlı ağ enjeksiyon sistemleri, hedefin mobil operatörü veya internet servis sağlayıcısıyla iş birliği gerektiriyor. Bu sistemler, şifrelenmemiş HTTP trafiğine veya müdahale edilmiş HTTPS trafiğine ortadaki adam (MitM) saldırısı düzenleyerek casus yazılımın yüklenmesini sağlıyor.
Hedef Sektörler ve Coğrafi Yayılım
Predator, Afrika, Orta Doğu ve Asya’da çok sayıda ülkede tespit edildi. Suudi Arabistan, Kazakistan, Angola ve Moğolistan gibi ülkelerde aktif kullanımı raporlandı. Bazı müşterilerin ise Haziran 2025 itibarıyla iletişimi kestiği gözlemlendi.
Siber Güvenlik Ekipleri İçin Öneriler
- Tarayıcı ve işletim sistemi yamalarını düzenli olarak uygulayın, özellikle CVE-2023-41993 ve CVE-2025-48543 gibi kritik açıklar için.
- EDR çözümlerinde V8 motoru ve WebKit bileşenlerine yönelik anormal davranışları izleyin.
- Mobil ağ trafiğinde şifrelenmemiş HTTP kullanımını engelleyin ve TLS sertifikası doğrulamalarını sıkılaştırın.
- Reklam ağlarından gelen trafiği filtreleyerek kötü amaçlı reklamların yayılmasını önleyin.
- Uygulama ve ağ segmentasyonu ile kritik sistemlere erişimi sınırlandırın.
- Olay müdahale süreçlerinde sıfır tıklama saldırılarını ve ağ enjeksiyonlarını içeren senaryoları test edin.
- Kullanıcı eğitimleriyle sosyal mühendislik ve phishing saldırılarına karşı farkındalığı artırın.
- IAM politikalarını güçlendirerek, özellikle uzaktan erişimlerde çok faktörlü kimlik doğrulama (MFA) kullanın.
Teknik Özet
- Zararlı Araç: Predator casus yazılımı ve PREYHUNTER modülü.
- Hedef Platformlar: Android ve iOS cihazlar.
- Kullanılan Zafiyetler: CVE-2025-48543, CVE-2025-6554, CVE-2023-41993, CVE-2023-41992, CVE-2023-41991, CVE-2024-4610, CVE-2023-4762, CVE-2023-3079, CVE-2023-2136, CVE-2023-2033, CVE-2021-38003, CVE-2021-38000, CVE-2021-37976, CVE-2021-37973, CVE-2021-1048.
- Saldırı Zinciri: Kötü amaçlı bağlantı tıklaması → Tarayıcı açıklarının istismarı → PREYHUNTER yükünün çalıştırılması → Veri toplama ve iletişim.
- Önerilen Savunma: Güncel yamaların uygulanması, ağ segmentasyonu, EDR ve SIEM ile anomali tespiti, MFA kullanımı.
Bu gelişmeler, özellikle mobil cihaz güvenliği, e-posta güvenliği ve ağ güvenliği alanlarında çalışan uzmanlar için önemli uyarılar içeriyor. Predator gibi gelişmiş tehdit aktörlerinin kullandığı yöntemler, modern güvenlik mimarilerinde sürekli iyileştirme ve çok katmanlı savunma gerektiriyor.