Resmi Google Play uygulama mağazasında bir dizi meşru Telegram “modları” gibi görünen tehlikeli casus yazılımlar on binlerce kez indirildi ve varlığı iş kullanıcıları için ciddi sonuçlar doğuruyor.
Popüler mesajlaşma istemcisi için değiştirilmiş uygulamalar (“modlar”) Telegram ekosisteminin iyi bilinen bir parçasıdır. Modlar, resmi bir istemcinin tüm standart işlevlerine sahip olan ancak ekstra özelliklerle güçlendirilmiş uygulamalardır. Telegram söz konusu olduğunda, bu tür bir gelişme şirket tarafından aktif olarak teşvik ediliyor ve tamamen meşru kabul ediliyor.
Ne yazık ki Kaspersky’nin araştırmasına göre, bilinmeyen tehdit aktörleri, yerinde bir şekilde “Kötü Telegram” adını verdikleri siber casusluk için yeni bir alan oluşturmak amacıyla Telegram modlarının varlığının resmi olarak kabul edilmesini tercih ediyor.
“Telgraf modları mantar gibi ortaya çıkıyor… [but] Kaspersky’nin Evil Telegram’da 8 Eylül’de yayınlanan bulgularına göre mesajlaşma modları büyük dikkatle ele alınmalıdır.”
KnowBe4 güvenlik farkındalığı savunucusu Erich Kron, siber suçluların cazibesinin açık olduğunu söylüyor.
Kron, “Telegram, Signal ve WhatsApp gibi uçtan uca şifreleme yoluyla güvenlik çığırtkanlığı yapan uygulamalarla, birçok kullanıcı platformları güvenli olmakla ilişkilendiriyor ve üçüncü taraf bir uygulamanın kullanılmasının sonuçlarını dikkate almıyor” diyor. “Kötü aktörler, resmi uygulamalarda bulunmayan ek özellikleri öne sürerek veya daha iyi performans ve verimlilik vaat ederek bu üçüncü taraf uygulamaları çok cazip hale getirebilir.”
Kağıt Uçak Casus Yazılımı Çin’de Uçuşa Geçiyor
Evil Telegram trendine bir örnek olarak, Kaspersky araştırmacıları Google Play’de kendilerine “Kağıt Uçak” adını veren ve mesajlaşma uygulamasının Uygurca, basitleştirilmiş Çince ve geleneksel Çince versiyonları olduğu iddia edilen bir dizi virüslü uygulama buldu; Google Play’deki açıklamalarda, dünya çapında dağıtılmış veri merkezleri ağı sayesinde diğer istemcilerden daha hızlı olduklarını iddia ederek kullanıcıları cezbediyorlar.
Kaspersky’ye göre, “İlk bakışta bu uygulamalar, yerelleştirilmiş bir arayüze sahip tam teşekküllü Telegram klonları gibi görünüyor. Her şey neredeyse gerçeğiyle aynı görünüyor ve çalışıyor.” “[But] Google Play moderatörlerinin dikkatinden kaçan küçük bir fark var: Virüslü sürümler ek bir [malicious] Gönderide şunu ekledi: “Kodları orijinal Telegram kodundan yalnızca çok az farklı, bu da Google Play güvenlik kontrollerinin sorunsuz olmasını sağlıyor.”
Gizli modülün, messenger içindeki her türlü etkinliği sürekli izleyen ve tüm kişileri, gönderilen ve alınan mesajları ekli dosyalar, sohbet/kanal adları, hesap sahibi messenger’ın adı ve telefon numarasıyla birlikte sızdıran güçlü bir casus yazılım olduğu ortaya çıktı.
Endişe verici bir şekilde, uygulamalar toplu olarak 60.000’den fazla kez indirildi ve muhtemelen mağdurlar hakkında bilgi toplamaya devam ediyor. Bu, Çin’de geçmişte defalarca zulme uğrayan ve muhtemelen hükümet istihbarat servislerinin emriyle casus yazılımlarla hedef alınan bir etnik azınlığı hedef alan Uygur versiyonu söz konusu olduğunda özellikle endişe vericidir. Sivil toplum ve muhalifler genel olarak eleştirdikleri baskıcı rejimlerin dikkatini dağıtmamak için şifreli mesajlaşmaya yönelme eğiliminde.
Kaspersky araştırmacıları, gelecekteki bulaşmaları önlemek için uygulamaları kaldırılmak üzere Google’a bildirdiklerini ancak bazı sürümlerin Play Store’da hâlâ mevcut olduğunu söyledi. Google, Dark Reading’in yorum talebine hemen geri dönüş yapmadı.
Kötü Amaçlı Mesajlaşma Uygulamaları Yükselişte
Kağıt Uçak saldırıları niş ve potansiyel olarak politik hedeflemeyi temsil ederken, Critical Start’ın siber tehdit araştırmaları kıdemli yöneticisi Callie Guenther, gündelik işletmelerin Evil Telegram trendini takip etmesi gerektiği konusunda uyarıyor.
“Mobil casus yazılımların evrimi, akıllı telefonların her yerde bulunmasına ve depoladıkları kişisel ve kurumsal verilerin zenginliğine bağlanabilir” diyor. “Mobil casus yazılım sıradan bir fenomen değil, ana akım bir siber tehdittir. İşletmeler günlük iletişim için mesajlaşma uygulamalarına giderek daha fazla bağımlı hale geliyor. Son casus yazılım bulguları, kuruluşların gardlarını düşüremeyeceklerini sert bir şekilde hatırlatıyor.”
Virüslü uygulamalar, hassas şirket verilerine yetkisiz erişime yol açabilir; iş stratejilerinin, anlaşmaların veya fikri mülkiyetin ifşa edilmesi; ve çalışanların kişisel bilgilerinin tehlikeye atılmasının kimlik hırsızlığı veya dolandırıcılık riskini doğurduğunu ekliyor.
Kaspersky araştırmacıları, “Çeşitli resmi olmayan Telegram modlarının kullanıldığı saldırıların son zamanlarda artış gösterdiği” uyarısında bulunarak casus yazılımlara yönelik pivotun, Truva Atı haline getirilmiş Telegram uygulamaları için bir evrimi temsil ettiğini ekledi.
Kaspersky’ye göre “Genellikle kullanıcıların mesajlarındaki kripto cüzdan adreslerini değiştiriyorlar veya reklam sahtekarlığı yapıyorlar.” “Onlardan farklı olarak [most recent] uygulamalar, kurbanın tüm yazışmalarını, kişisel verilerini ve bağlantılarını çalabilen tam teşekküllü bir casus yazılım sınıfından geliyor.”
Aslında Paper Airplane keşfi, ESET’in yakın zamanda Telegram’ın FlyGram adlı başka bir casus yazılım sürümünü keşfetmesinin ardından geldi; bu sürüm Google Play’in yanı sıra Samsung Galaxy Store’da da mevcuttu; ESET aynı kötü amaçlı yazılımın aynı mağazalardaki Signal şifreli mesajlaşma uygulamasının Signal Plus Messenger adı verilen Truva atı haline getirilmiş bir sürümünde de gizlendiğini keşfetti.
Ticari Kullanıcıları Mobil Casus Yazılımlara Karşı Koruma
Kaspersky’ye göre “Çoğu kullanıcı hâlâ Google Play’de doğrulanan ve yayınlanan uygulamalara körü körüne güveniyor.” İşletmeler kendilerini korumak için çalışanlarına Google Play’in bile kötü amaçlı yazılımlara karşı bağışık olmadığını ve özellikle de popüler mesajlaşma programları için alternatif istemcilerden kaçınılması gerektiğini hatırlatmalı.
Araştırmacılara göre resmi uygulamalar bile dikkatle incelenmeli, yalnızca isme değil geliştiriciye de dikkat edilmeli ve olumsuz kullanıcı yorumları dikkate alınmalıdır.
Kron, “Çalışanların bu gibi ortamlar aracılığıyla iletişim kurmasına olanak tanıyan kuruluşlar için, yalnızca resmi uygulamaları kullanmaları ve kullanıcıları, resmi uygulama mağazalarından indirilseler bile üçüncü taraf uygulamaların tehlikeleri konusunda eğitmeleri kritik önem taşıyor” diyor.