Android BadBazaar kötü amaçlı yazılımı Google Play mağazası, Samsung Galaxy Store ve Signal Plus Messenger ve FlyGram kötü amaçlı uygulamalarını taklit eden özel web siteleri aracılığıyla dağıtılıyor.
Bu aktif kampanyalar, GREF olarak bilinen Çin bağlantılı APT organizasyonuyla bağlantılıdır. Uygurlar ve diğer Türk etnik azınlıklar tarihsel olarak BadBazaar olarak bilinen casus yazılımların hedefi olmuştur.
BadBazaar kötü amaçlı yazılım ailesi zaten hedef alındı ve FlyGram kötü amaçlı yazılımının bir Uygur Telegram kanalında da yayıldığı gözlemlendi.
ESET araştırmacılarına göre kurbanların bulunduğu ülkeler Almanya, Polonya, ABD, Ukrayna, Avustralya, Brezilya, Danimarka, Kongo-Kinşasa, Hong Kong, Macaristan, Litvanya, Hollanda, Portekiz, Singapur, İspanya ve Yemen’dir. en sık.
Saldırının Özellikleri
Araştırmacılar, Signal Plus Messenger ve FlyGram adlı kötü amaçlı uygulamaların Google Play mağazası, Samsung Galaxy Store ve belirli web siteleri aracılığıyla Signal uygulamasını taklit ederek yüklendiği ve yayıldığı aktif Android kampanyaları buldu (signalplus).[.]org) ve bir Telegram alternatif uygulaması (flygram[.]org).
BadBazaar’ın temel amacı, kişi listesi, çağrı kayıtları ve yüklü uygulamaların listesi gibi cihaz bilgilerini çalmak ve ayrıca kurbanın Signal Plus Messenger uygulamasını saldırganın mobil cihazına gizlice ekleyerek Signal konuşmalarını gözetlemektir.
FlyGram, yalnızca kişi listeleri, telefon kayıtları ve Google Hesapları listesi gibi hassas verileri değil, aynı zamanda temel cihaz bilgilerini de özel olarak çıkarabilir.
Ayrıca kötü amaçlı yazılım, Telegram ile ilgili bazı verilere ve ayarlara sızabilir; araştırmacılar bu verilerin Telegram kişi listesini, mesajları ve diğer hassas verileri içermediğini söylüyor.
Paylaşılan rapora göre, “Kullanıcılar, Telegram verilerini saldırganlar tarafından kontrol edilen uzak bir sunucuya yedeklemelerine ve geri yüklemelerine olanak tanıyan belirli bir FlyGram özelliğini etkinleştirirse, tehdit aktörü yalnızca toplanan meta verilere değil, bu Telegram yedeklemelerine de tam erişime sahip olacak.” Siber Güvenlik Haberleri ile.
Yeni oluşturulan her kullanıcı hesabı, sunucudan özel bir kimlik alır. Bu kimlik, en az 13.953 FlyGram hesabında bu özelliğin açık olduğunu gösteren sıralı bir yapıya sahiptir.
Benzer cihaz verileri ve özel bilgiler Signal Plus Messenger tarafından toplanıyor ancak asıl amacı kurbanın Signal iletişimlerini izlemek.
Signal hesabını güvence altına alan Signal PIN’ini elde edebilir ve kullanıcıların Signal Desktop ile Signal iPad’i telefonlarına bağlamasına olanak tanıyan cihaz bağlantı özelliğini kötüye kullanabilir.
Araştırmacılar, “BadBazaar ailesinden gelen kötü amaçlı kod, truva atı haline getirilmiş Signal ve Telegram uygulamalarında gizlendi; bu, kurbanlara çalışan bir uygulama deneyimi sunacak (kaldırmak için bir neden olmadan), ancak arka planda casusluk gerçekleşecek” dedi.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.