Google Play’deki Evil Telegram 60.000 kişiye virüs bulaştırarak herkesi tehlikeye attı.
Google Play’de Android için birkaç kötü amaçlı Telegram klonu 60.000’den fazla kez yüklendi ve kullanıcılara kullanıcı mesajlarını, kişi listelerini ve diğer verileri çalan casus yazılımları bulaştırdı.
Uygulamalar, Çince konuşan kullanıcılar ve Uygur etnik azınlığı için uyarlanmış gibi görünüyor ve bu da iyi belgelenmiş devlet izleme ve baskı mekanizmalarıyla olası bağları öne sürdüğü açıklandı.
Büyük ihtimal arkasında Çin devletli siber korsanlar var.
Uygulamalar, onları Google’a bildiren Kaspersky tarafından keşfedildi. Ancak araştırmacılar raporlarını yayınladıkları sırada, Google Play üzerinden indirilebilecek birkaç kötü amaçlı uygulama hala mevcuttu.
Truva Atlı Telegram
Kaspersky’nin raporunda sunulan Telegram uygulamaları, normal uygulamaya “daha hızlı” alternatifler olarak tanıtılıyor.
Raporda gösterilen örneklerin 60.000’den fazla yüklemesi vardır, bu nedenle kampanya, potansiyel hedefler havuzuna ulaşmada ılımlı bir başarıya sahiptir.
Güvenlik analistleri, uygulamaların görünüşte orijinal Telegram ile aynı olduğunu ancak kodda veri çalmak için ek işlevler içerdiğini bildiriyor.
Özellikle, ‘com’ adlı ekstra bir paket var. kullanıcının kişilerine erişen ve ayrıca kurbanın kullanıcı adını, kullanıcı kimliğini ve telefon numarasını toplayan wsys ‘.
Kullanıcı truva atı uygulaması aracılığıyla bir mesaj aldığında, casus yazılım bir kopyasını doğrudan operatörün komut ve kontrol (C2) sunucusuna “sg [.] telgraf[.] org”
İletimden önce şifrelenen süzülmüş veriler, mesaj içeriğini, sohbet / kanal başlığını ve kimliğini ve gönderenin adını ve kimliğini içerir.
Casus yazılım uygulaması ayrıca virüslü uygulamayı kurbanın kullanıcı adı ve kimliğindeki değişiklikler ve kişi listesindeki değişiklikler açısından izler ve bir şey değişirse en güncel bilgileri toplar.
Kötü niyetli telegram uygulamalarının paket adlarının org’unu kullandığına dikkat edilmelidir. Google Play’deki Evil Telegram detayları paylaşıldı.
Google o zamandan beri bu Android uygulamalarını Google Play’den kaldırdı ve aşağıdaki ifadeyi BleepingComputer ile paylaştı.
“Uygulamalara yönelik güvenlik ve gizlilik iddialarını ciddiye alıyoruz ve bir uygulamanın politikalarımızı ihlal ettiğini tespit edersek uygun önlemleri alıyoruz. Bildirilen tüm uygulamalar Google Play’den kaldırıldı ve geliştiriciler yasaklandı. Kullanıcılar ayrıca, kullanıcıları uyarabilen veya Google Play Hizmetlerine sahip Android cihazlarda kötü amaçlı davranış sergilediği bilinen uygulamaları engelleyebilen Google Play Protect tarafından da korunur.” – Google.
Değiştirilmiş mesajlaşma uygulamasının tehlikeleri
Geçtiğimiz ayın sonlarında ESET, popüler açık kaynaklı Signal ve Telegram uygulamalarının daha zengin özelliklere sahip sürümleri olarak tanıtılan iki truva atlı mesajlaşma uygulaması Signal Plus Messenger ve FlyGram hakkında uyardı.
Artık Google Play’den ve Samsung Galaxy Store’dan kaldırılan bu uygulamalar, operatörlerinin Çinli APT ‘gref’in hedeflerine casusluk yapmasına izin veren BadBazaar kötü amaçlı yazılımını içeriyordu.
İlginizi çekebilecek yazımız: Tryhackme Mr.Robot Çözümü
Bu yılın başlarında ESET, popüler mesajlaşma uygulamalarının truva atlı sürümlerini dağıtan ve Çince konuşan kullanıcıları da hedefleyen iki düzine Telegram ve WhatsApp klon sitesini keşfetti.
Kullanıcıların mesajlaşma uygulamalarının orijinal sürümlerini kullanmaları ve gelişmiş gizlilik, hız veya diğer özellikler vaat eden çatallı uygulamaları indirmekten kaçınmaları önerilir.
Google, yayıncıların tarama sonrası ve yükleme sonrası güncellemeler yoluyla kötü amaçlı kodlar sunması nedeniyle bu kötü amaçlı yüklemeleri durduramadı.
Temmuz ayında teknoloji devi, Android kullanıcılarının güvenliğini artırmayı amaçlayan 31 Ağustos 2023’ten itibaren Google Play Store’da bir işletme doğrulama sistemi uygulama stratejisini açıkladı.
Haber Kaynağı: Bleeping Computer