Telegram X messenger’ın kötü amaçla değiştirilmiş sürümlerinde Android.Backdoor.Baohuo.1.origin adlı gelişmiş bir arka kapı keşfedildi ve saldırganlara, fark edilmeden çalışırken kurbanların hesapları üzerinde tam kontrol sağlıyor.
Kötü amaçlı yazılım, aldatıcı uygulama içi reklamlar ve üçüncü taraf uygulama mağazaları aracılığıyla cihazlara sızıyor ve meşru tanışma ve iletişim platformları gibi görünüyor.
Yaklaşık 3.000 akıllı telefon modeli, tablet, TV kutusu ve hatta Android tabanlı araç sistemlerine yayılmış 58.000’den fazla virüslü cihazla bu tehdit, mobil kötü amaçlı yazılımların karmaşıklığında önemli bir artışı temsil ediyor.
Arka kapının dağıtımı 2024’ün ortalarında başladı ve öncelikle Portekizce ve Endonezce dil şablonları aracılığıyla Brezilyalı ve Endonezyalı kullanıcıları hedef aldı.
Mağdurlar, mobil uygulamalarda, onları sahte incelemeler içeren sahte uygulama kataloglarına ve “ücretsiz görüntülü sohbetler” ve flört fırsatlarının reklamını yapan tanıtım afişlerine yönlendiren reklamlarla karşılaşıyor.
Bu sahte web siteleri, meşru Telegram X kurulumlarından ayırt edilemeyen truva atı haline getirilmiş APK dosyaları sunar.
.webp)
Arka kapı, kötü amaçlı web sitelerinin ötesinde, aralarında APK, ApkSum ve AndroidP’nin de bulunduğu yerleşik üçüncü taraf uygulama depolarına sızdı ve burada farklı dijital imzalara sahip olmasına rağmen aldatıcı bir şekilde resmi mesajlaşma geliştiricisinin adı altında yayınlandı.
Dr.Web analistleri, kötü amaçlı yazılımın oturum açma kimlik bilgileri, parolalar ve sohbet geçmişlerinin tamamı dahil olmak üzere gizli bilgileri çalma konusundaki olağanüstü yeteneğini belirledi.
Arka kapı, üçüncü taraf cihaz bağlantılarını aktif Telegram oturum listelerinden gizleyerek güvenliği ihlal edilmiş hesap göstergelerini gizler.
Ek olarak, kullanıcıları otonom olarak kanallara ekler veya kanallardan çıkarır, mağdurlar adına sohbetlere katılır ve bu eylemleri tamamen gizleyerek ele geçirilen hesapları Telegram kanal abonelerini yapay olarak şişirmeye yönelik araçlara dönüştürür.
Android.Backdoor.Baohuo.1.origin’i geleneksel Android tehditlerinden ayıran şey, komuta ve kontrol operasyonları için Redis veritabanını benzeri görülmemiş bir şekilde kullanmasıdır.
Önceki sürümler yalnızca geleneksel C2 sunucularına dayanıyordu, ancak kötü amaçlı yazılım yazarları, C2 sunucusu yedekliliğini korurken kademeli olarak Redis tabanlı komut alımını entegre etti.
Bu, Android kötü amaçlı yazılım kontrol mekanizmalarında Redis veritabanı kullanımının belgelenen ilk örneğini temsil ediyor.
Başlatıldığında arka kapı, Redis bağlantı kimlik bilgileri de dahil olmak üzere yapılandırma parametrelerini almak için C2 sunucusuna bağlanarak tehdit aktörlerinin uzaktan komut vermesini ve truva atı ayarlarını güncellemesini sağlar.
Gelişmiş Kontrol Mekanizmaları ve Veri Sızıntısı
Arka kapı, mesajlaşma işlevini tespit edilmeden değiştirmek için birden fazla teknik kullanır.
Siber suçlular, temel uygulama özelliklerine müdahale etmeyen operasyonlar için, mesajlaşma yöntemlerinin önceden hazırlanmış “aynalarını” (Android program mimarisi içindeki belirli görevlerden sorumlu ayrı kod bloklarını) kullanır.
Bu aynalar, kimlik avı mesajlarının orijinal Telegram X arayüzlerini mükemmel şekilde kopyalayan pencerelerde görüntülenmesini kolaylaştırır.
Daha derin entegrasyon gerektiren standart dışı işlemlerde kötü amaçlı yazılım, uygulama yöntemlerini dinamik olarak değiştirmek için Xposed çerçevesinden yararlanarak belirli sohbetleri gizleme, yetkili cihazları gizleme ve pano içeriklerine müdahale etme gibi yetenekleri etkinleştirir.
Android.Backdoor.Baohuo.1.origin, Redis kanalları ve C2 sunucuları aracılığıyla, kullanıcılar mesajlaşma penceresini simge durumuna küçülttüğünde veya geri yüklediğinde SMS mesajları, kişiler ve pano içeriklerinin yüklenmesi de dahil olmak üzere kapsamlı komutlar alır.
Bu pano izleme, kurbanların yanlışlıkla kripto para cüzdanı şifrelerini, anımsatıcı ifadeleri veya gizli iş iletişimlerini ifşa ettiği karmaşık veri hırsızlığı senaryolarına olanak tanır.
Arka kapı, cihaz bilgilerini, yüklü uygulama verilerini, mesaj geçmişlerini ve kimlik doğrulama belirteçlerini sistematik olarak toplayarak, normal mesajlaşma işleminin görünümünü korurken bu istihbaratı her üç dakikada bir saldırganlara aktarır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
