Uygurları gözetlemek için BadBazaar adlı Android kötü amaçlı yazılım aracını kullanan Çin merkezli bir gelişmiş kalıcı tehdit grubu, aynı casus yazılımı Signal ve Telegram mesajlaşma uygulamalarının Truva atı haline getirilmiş sürümleri aracılığıyla çeşitli ülkelerdeki kullanıcılara dağıtıyor.
Signal Plus Messenger ve FlyGram uygulamaları, resmi sürümlerde bulunmayan özellikleri ve değişiklikleri sunuyor. Ancak gerçekte meşru işlevsellik sunarken aynı zamanda cihaz ve kullanıcı bilgilerini sızdırabilir ve Signal Plus örneğinde tehdit aktörünün iletişimleri gözetlemesine olanak sağlayabilir.
Binlerce İndirme
Kampanyayı keşfeden ESET araştırmacıları, telemetri ölçümlerinin binlerce kullanıcının Google Play Store’dan, Samsung Galaxy Store’dan ve tehdit aktörünün her iki uygulama için kurduğu web sitelerinden hem uygulamaları indirdiğini gösterdiğini söylüyor.
Güvenlik sağlayıcısı şu ana kadar aralarında ABD, Avustralya, Almanya, Brezilya, Danimarka, Portekiz, İspanya ve Singapur’un da bulunduğu 16 ülkede virüslü cihazlar tespit ettiğini söyledi. Araştırmacılar kampanyayı GREF olarak takip ettikleri Çinli bir gruba bağladılar.
ESET araştırmacısı Lukáš Štefanko, “BadBazaar’ın analizine göre, kötü amaçlı Signal Plus Messenger durumunda, Signal iletişimine odaklanarak kullanıcı casusluğunun ana hedefi olduğunu” söylüyor. “Kötü amaçlı Signal Plus Messenger’ın hâlâ Samsung Galaxy Store’da mevcut olması ve yakın zamanda 11 Ağustos 2023’te güncellenmesi nedeniyle kampanyalar aktif görünüyor.”
Štefanko, BadBazaar’ın önceki kullanımından farklı olarak ESET’in, GREF’in kötü amaçlı yazılımı belirli grupları veya bireyleri hedeflemek için kullandığını gösteren hiçbir şey bulamadığını söylüyor.
ESET’e göre tehdit aktörü, Signal Plus Messenger’ı Google Play’e ilk olarak Temmuz 2022’de, FlyGram’ı ise Haziran 2020’nin başlarında yüklemiş gibi görünüyor. Signal uygulaması birkaç yüz kez indirilirken, Google kaldırılmadan önce 5.000’den fazla kullanıcı FlyGram’ı Play’den indirdi. BT. ESET, GREF aktörlerinin Truva Atı haline getirilmiş uygulamalarını Galaxy Store’a ne zaman yüklediklerinin belirsiz olduğunu çünkü Samsung’un bu bilgiyi açıklamadığını söyledi.
GREF, her iki kötü amaçlı uygulama için de, uygulamaların Play ve Galaxy Store’da kullanıma sunulmasından birkaç ay önce özel web siteleri kurmuş gibi görünüyor.
Google, ESET’in Nisan ayında şirkete bildirimde bulunmasının ardından Signal Plus Messenger’ın en son sürümünü Play Store’dan kaldırdı. Google daha önce FlyGram’ı mağazadan kaldırmıştı. Ancak güvenlik sağlayıcısı bu haftaki bir raporda, ESET’in şirkete tehdidi bildirdikten sonra bile her iki uygulamanın da Samsung Galaxy Store’da mevcut olması nedeniyle her iki uygulamanın da aktif bir tehdit olmaya devam ettiğini söyledi.
Mağdurlar Üzerinde Potansiyel Olarak Büyük Etki
BadBazaar, diğer bazı satıcıların Vixen Panda ve Nickel olarak da bilinen Çin merkezli APT15’e atfettiği kötü amaçlı yazılımdır. Geçen Kasım ayında kötü amaçlı yazılım hakkında ilk rapor veren Lookout, BadBazaar’ı, Çin hükümetinin hem yurt içinde hem de yurt dışında Uygurlara ve diğer Türk azınlıklara karşı gözetim kampanyalarında kullandığı benzersiz gözetim araçlarından biri olarak tanımladı.
ESET, kod benzerliklerine dayanarak hem Signal Plus Messenger hem de FlyGram’ın kesinlikle BadBazaar kötü amaçlı yazılım ailesine ait göründüğünü söyledi.
FlyGram’ın özellikleri arasında temel cihaz bilgilerini, kişi listelerini, çağrı kayıtlarını ve güvenliği ihlal edilmiş bir Android cihazdaki tüm Google Hesaplarının bir listesini çıkarma yeteneği yer alıyor. FlyGram ayrıca, kullanıcı kötü amaçlı uygulamada belirli bir Bulut Senkronizasyonu özelliğini etkinleştirirse Telegram uygulamalarından bazı temel meta verileri çıkarabilir ve kişiler, profil resimleri, gruplar, kanallar ve diğer bilgiler dahil olmak üzere kullanıcının tam Telegram yedeklemesine erişebilir. ESET, söz konusu yedekleme özelliğiyle ilgili telemetrinin, FlyGram’ı indiren en az 13.953 kişinin bu özelliği etkinleştirdiğini gösterdiğini belirtti.
Signal Plus Messenger, FlyGram ile aynı türden cihaz ve kullanıcı bilgilerini toplar ancak asıl işlevi, kullanıcının Signal iletişimlerini gözetlemektir. Kötü amaçlı yazılımın benzersiz özelliklerinden biri, kullanıcının Signal PIN’ini çıkarıp bunu Signal Masaüstü ile Signal iPad’i kendi telefonlarına bağlamak için kullanabilmesidir. ESET, “Bu casusluk yaklaşımı, bilinen diğer kötü amaçlı yazılımların işlevselliğinden farklı olduğu için benzersizliği nedeniyle öne çıkıyor.” dedi.
Štefanko, “FlyGram’ın yalnızca kullanıcıları gözetlemekle kalmayıp aynı zamanda ek özel yük indirip kullanıcıların bunları yüklemesini sağlayabildiği göz önüne alındığında, belirli kişiler ve kuruluşlar için etki çok büyük olabilir” dedi. “Öte yandan, Malicious Signal Plus Messenger, değiş tokuş edilen Signal iletişiminde aktif casusluğa izin veriyor.”
Štefanko, diğer bazı sağlayıcıların BadBazaar’ı APT15’e bağladığını ancak ESET’in kendisinin bu bağlantıyı kesin olarak kuramadığını söylüyor. Bunun yerine, kötü amaçlı yazılımla ilgili telemetri, Truva Atı haline getirilmiş uygulamalar ve tehdit altyapısının hepsinin BadBazaar’ın GREF’in eseri olduğuna işaret ettiğini söylüyor. “GREF’i ayrı bir grup olarak izlesek de birçok araştırmacı bunun APT15 ile ilişkili olduğuna inanıyor. Ancak bu bağlantıyı destekleyecek yeterli kanıtımız yok.”