Yeni bir Android tehdidi, Telegram X’in sahte sürümleri aracılığıyla hızla yayılıyor ve saldırganlara kullanıcıların hesapları üzerinde tam kontrol sağlıyor. Doctor Web’deki güvenlik araştırmacıları buna adını verdi Android.Backdoor.Baohuo.1.originbunu bu yıl görülen en gelişmiş Android arka kapılarından biri olarak tanımlıyor.
Ana Telegram istemcisinin daha hızlı ve daha deneysel bir versiyonunu sunan, Telegram tarafından geliştirilen gerçek bir Android uygulaması olan normal bir Telegram X uygulaması gibi görünmeye başlar. Uygulama Google Play Store’da mevcuttur.
Baohuo kötü amaçlı yazılım dolandırıcılığında, kurbanlar genellikle sahte Telegram X uygulamasıyla, mesajlaşma programının gelişmiş veya flört odaklı bir sürümünü sunduğunu iddia eden çevrimiçi reklamlar aracılığıyla karşılaşıyor. Kurulumdan sonra uygulama normal çalışıyor gibi görünüyor ancak arka planda uzak sunuculara bağlanıyor ve kullanıcının Telegram hesabının kontrolünü ele alıyor.
Baohuo, yetkisiz girişleri gizleyebilir ve yeni veya silinmiş sohbetlerin veya kanalların izlerini silebilir. Bu, saldırganların kullanıcı fark etmeden kanallara katılmasına, kanallardan ayrılmasına veya kanal değiştirmesine olanak tanır. Aslında mesajlara, kişilere ve oturumlara tam erişim elde ediyorlar ve sohbetleri sanki hesabın sahibiymiş gibi yönetebiliyorlar.
Baohuo Nasıl Çalışıyor ve Küresel Etkisi: Etkilenen 58.000 Cihaz
Baohuo, çalışma zamanında uygulama davranışını değiştirmek için Xposed çerçevesini kullanıyor. Bu, sohbetleri, cihazları ve bildirimleri gizlemesine veya kullanıcıları kötü amaçlı sayfalara gönderen sahte güncelleme açılır pencerelerini görüntülemesine olanak tanır. Ayrıca kendi kötü amaçlı görevlerini yerine getirirken normal uygulama eylemlerini taklit etmek için meşru Telegram yöntemlerinin kopyaları olan “aynalar” oluşturur.
Doctor Web analistleri blog yazılarında operasyonun 2024 ortalarında başladığını ve akıllı telefonlar, tabletler, TV kutuları ve hatta araba sistemleri dahil olmak üzere halihazırda 58.000’den fazla Android cihazı etkilediğini söylüyor. Enfeksiyonların çoğu, kullanıcıların Portekizce ve Endonezce yazılmış yerelleştirilmiş reklam şablonlarıyla hedeflendiği Hindistan, Brezilya ve Endonezya’da bulunuyor.
- Hindistan – %22,8
- Brezilya – %20,5
- Endonezya – %9,6
- Mısır – %5,5
- Cezayir – %4,0
- Kolombiya – %3,1
- Bangladeş – %2,2
- Rusya – %2,3
- Irak – %1,7
- Pakistan – %1,7
- Filipinler – %1,7
Yeni Bir Komuta ve Kontrol Yolu
Baohuo’nun kontrol edilme şekli de bir başka önemli endişe kaynağı. Daha önceki Android kötü amaçlı yazılımları genellikle standart komuta ve kontrol (C2) sunucuları aracılığıyla iletişim kuruyordu. Öte yandan Baohuo, komutları doğrudan Redis veritabanından alıyor ve bu da onu kontrol için Redis’i kullanan bilinen ilk Android kötü amaçlı yazılım haline getiriyor.
Bu, saldırganların kolayca komut vermesine ve ana C2 sunucusunun çevrimdışı olması durumunda çalışmaya devam etmesine olanak tanır. Bu komutlar arasında SMS mesajlarının, kişilerin yüklenmesi, şifreleme anahtarlarının alınması, reklamların gönderilmesi, güncellemelerin indirilmesi veya virüslü cihaz hakkında ayrıntılı bilgilerin toplanması yer alıyor.
Daha da kötüsü, Baohuo pano verilerini kopyalayabilir. Şifreler veya kripto para cüzdanı kurtarma ifadeleri gibi telefona kopyalanan her şey ele geçirilebilir ve doğrudan saldırganın sunucusuna gönderilebilir. Kötü amaçlı yazılım ayrıca birkaç dakikada bir kontrol yaparak ekranın açık olup olmadığı ve uygulamanın hangi izinlere sahip olduğu gibi kullanıcının etkinliği hakkında ayrıntılar gönderir.
Popüler Üçüncü Taraf Uygulama Mağazalarında Bulunur
Araştırmacılara göre kötü amaçlı yazılım, APK, ApkSum ve AndroidP gibi popüler üçüncü taraf uygulama mağazalarında da bulundu. Bazı durumlarda, dijital imzalar eşleşmese de Telegram’ın gerçek geliştiricisi tarafından yüklendiği belirtiliyordu. Doctor Web, bu platformları truva atı haline getirilmiş dosyaları kaldırmaları konusunda uyardığını söylüyor.
Şirket, mobil antivirüs ürünlerinin Baohuo’nun bilinen tüm sürümlerini tespit edip kaldırdığını söylüyor ancak değiştirilmiş Telegram uygulamalarının resmi olmayan platformlara yayılması önemli bir sorun olmaya devam ediyor. Kullanıcıların Telegram’ı yalnızca resmi Google Play Store’dan veya Telegram’ın resmi web sitesinden indirmeleri ve APK’ları reklamlardaki veya doğrulanmamış kataloglardaki bağlantılardan yüklemekten kaçınmaları önerilir.