Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suçlar, Sosyal Mühendislik
Truva atı haline getirilmiş uygulamalar Signal ve Telegram’ın kimliğine bürünüyor
Sayın Mihir (MihirBagwe) •
31 Ağustos 2023
Çin çıkarlarıyla uyumlu bilgisayar korsanları, biri Temmuz 2020’den bu yana ve diğeri 12 aydan uzun süredir aktif olan ayrı ve devam eden kampanyalarda casusluk yetenekleriyle Truva Atı haline getirilmiş sahte şifreli sohbet uygulamalarıyla Android kullanıcılarını hedefliyor.
Ayrıca bakınız: Hızlı Dijitalleşme ve Risk: Yuvarlak Masa Önizlemesi
Çarşamba günü Eset’teki araştırmacılar, kampanyaları Gref olarak takip edilen bir tehdit grubuna bağladı; bu da APT15, Vixen Panda ve Ke3Chang gibi gruplara atfedilen faaliyetlerle örtüşüyor.
Çinli bilgisayar korsanları, kendilerini “Signal Plus Messenger” ve “FlyGram” olarak temsil eden uygulamalar aracılığıyla Google Play ve Samsung Galaxy Store’daki Signal ve Telegram uygulamalarını taklit ettiler. Uygulamalar, daha önce Çin’deki Uygurları ve diğer Türk etnik azınlıkları hedef almak için kullanılan kötü amaçlı kod olan “BadBazaar” casus yazılımını içeriyordu. Eset, “Bildiğimiz kadarıyla bu kötü amaçlı yazılım ailesi Gref’e özeldir” diye yazdı. Truva Atı olan iki uygulamanın kod analizi, sınıf adları ve veri sızıntısından sorumlu kodlar arasındaki benzerlikleri ortaya çıkardı.
Eset, telemetrisinin çoğunlukla Polonya ve Almanya’daki enfeksiyonların yanı sıra Brezilya ve Avustralya gibi birbirinden uzak ülkelerdeki enfeksiyonları gösterdiğini söyledi. Eset, Gref’in, 1.300’den fazla üyesi olan, Android uygulama paylaşımına odaklanan bir Uygur Telegram grubunda tanıtımını yaparak bazı kurbanları FlyGram uygulamasını yüklemeye ikna ettiğini yazdı. Pekin, üyelerinin Sincan Uygur Özerk Bölgesi’nde devam eden baskıya karşı konuşmalarını engellemek amacıyla Uygur diasporasını yakından izliyor. ABD, Çin hükümetini Uygurlara karşı soykırım ve insanlığa karşı suç işlemekle suçluyor.
Uygulamalar, kişi listeleri, çağrı kayıtları, Google hesapları listesi, cihaz konumu ve yüklü uygulamaların listesi dahil olmak üzere bilgileri sızdırıyor. Sahte Signal uygulaması, Signal PIN numarasını çalarak ve ele geçirilen cihazı saldırganın Signal cihazına otomatik olarak bağlayarak güvenlik korumalarını aşıyor.
Google, sahte Signal uygulamasını 23 Mayıs’ta Play Store’dan kaldırdı ve FlyGram, Ocak 2021’den bu yana resmi Android uygulama mağazasında bulunmuyor. Eset, Samsung’un kötü amaçlı uygulamalarla ilgili raporuna yanıt vermediğini ve bu uygulamaların mevcut olduğunu söyledi. Yayınlanma tarihi itibarıyla Samsung Galaxy Store. Perşembe akşamı olduğu gibi, Samsung sitesinde mevcut değil gibi görünüyorlar.