Araştırmacılar tarafından on iki kötü amaçlı Android casusluk uygulaması keşfedildi; bunların tümü, VajraSpy olarak bilinen bir uzaktan erişim truva atı (RAT) kodunu çalıştırıyordu.
Bunlardan altısının Google Play Store’da mevcut olduğu, diğer altısının ise VirusTotal ile keşfedildiği ortaya çıktı.
Bu uygulamaların tümü, VajraSpy RAT kodu ve geliştirici sertifikasıyla birlikte verilen mesajlaşma platformu gibi çeşitli benzerlikleri paylaşıyor.
Bu uygulamaların yüklenme tarihi Nisan 2021 ile Mart 2023 arasındaydı. Bu başvurulardan sadece birinin diğerlerinden farklılaşan yeni bir uygulama olduğu görüldü.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
En eski uygulamanın 1 Nisan 2021’de yüklenen Privee Talk olduğu, en son uygulamanın ise Eylül 2023’te ortaya çıkan Wave Chat olduğu keşfedildi.
Tüm bu uygulamaların toplamında yaklaşık 1400 kurulum gerçekleşti. Kötü amaçlı uygulamaların listesi aşağıdaki gibidir:
- Refakat dostluğu
- Özel konuşma
- Benimle tanış
- Muhabbet edelim
- Hızlı sohbet
- Geyik sohbetler
- TikTalk
- Merhaba Sohbet
- YohooTalk
- Yuva
- GlowChat
- Dalga Sohbeti
- Uygulamaya tıklayın
- Çılgın konuşma
Google Play’de Android Kötü Amaçlı Yazılım
Cyber Security News ile paylaşılan raporlara göre VajraSpy, tüm kötü amaçlı uygulamalarda aynı sınıf adlarını kullanan kullanıcı verilerine sızmak için kullanılabilecek özelleştirilebilir bir truva atıdır.
Ek olarak, gözlemlenen tüm uygulamalar, veri sızıntısı için aynı çalışan sınıflarını paylaşıyordu. Ancak truva atı haline getirilmiş uygulamalar şu şekilde üç gruba ayrılabilir:
- Temel işlevlere sahip truva atı haline getirilmiş mesajlaşma uygulamaları
- Gelişmiş işlevlere sahip truva atı haline getirilmiş mesajlaşma uygulamaları
- Mesajlaşma dışı uygulamalar
Trojanlı Mesajlaşma Uygulamaları
Bu grup, MeetMe, Privee Talk, Let’s Chat, Quick Chat, GlowChat ve Chit Chat gibi Google Play’de bulunan kötü amaçlı uygulamalardan oluşur. Ayrıca Google Play’de bulunmayan Merhaba Sohbet’i de içerir.
Bu uygulama grubu standart bir mesajlaşma işlevine sahiptir ve başlangıçta bir hesap oluşturulmasını gerektirir.
Ayrıca OTP SMS kodları kullanılarak cep telefonu numarası doğrulaması da yapılmaktadır. Ancak bu adımın başarısı ne olursa olsun VajraSpy zaten çalışıyor olduğundan bu alakasız bir adımdır.
Ayrıca telefon numarası doğrulamanın, mağdurun ülke kodunu öğrenmenin bir yolu olarak tehdit aktörleri tarafından gerçekleştirildiği tahmin ediliyor.
Bu grup altında kategorize edilen uygulamaların tamamı aşağıdaki verileri sızdırma yeteneğine sahiptir.
- Kişiler,
- SMS mesajları,
- arama kayıtları,
- cihaz konumu,
- yüklü uygulamaların bir listesi ve
- belirli uzantılara sahip dosyalar (.pdf, .doc, .docx, .txt, .ppt, .pptx, .xls, .xlsx, .jpg, .jpeg, .png, .mp3, .Om4a, .aac ve .opus) ).
Trojanlı Mesajlaşma Uygulamaları
Gelişmiş işlevlere sahip truva atı haline getirilmiş mesajlaşma uygulamaları
Bu grup TikTalk, Nidus, YohooTalk, Crazy Talk ve Wave Chat uygulamalarından oluşmaktadır. Bu uygulamalar WhatsApp, WhatsApp Business ve sinyal iletişimini ele geçirme gibi genişletilmiş yetenekleri gerçekleştirir.
Ayrıca VajraSpy, Firebase tarafından barındırılan C&C sunucusuna yüklenen konsoldaki ve yerel veritabanındaki bu uygulamalardan gelen tüm görünür iletişimleri de günlüğe kaydeder. Bunun dışında bu uygulamalar herhangi bir cihaz bildirimini de engelleyebilir.
Grup içindeki uygulamalardan biri olan Wave Chat’in aşağıdaki gibi ek yeteneklere sahip olduğu görüldü:
- telefon görüşmelerini kaydetme,
- WhatsApp, WhatsApp Business, Signal ve Telegram’dan gelen çağrıları kaydedin,
- tuş vuruşlarını günlüğe kaydetme,
- kamerayı kullanarak fotoğraf çekmek,
- Çevredeki sesi kaydedin ve
- Wi-Fi ağlarını tarayın.
Mesajlaşma dışı uygulamalar
Daha önce de belirttiğimiz gibi sohbet dışı tek uygulama olan bu gruba yalnızca Refaqat رفاقت uygulaması aittir. Bu uygulama telefon numarası istemesine rağmen herhangi bir doğrulama işlemi gerçekleştirmiyor.
Bu uygulamanın ayrıca bildirimleri ele geçirebildiği ve .pdf, .doc, .docx, .txt, .ppt, .pptx, .xls, .xlsx, .jpg, .jpeg gibi belirli uzantılara sahip kişileri ve dosyaları dışarı sızdırabildiği bulunmuştur. .png, .mp3, .Om4a, .aac ve .opus.
ESET, bu uygulamaların yayınlandığını, kaynak kodu, uygulama analizi, kötü amaçlı yazılım analizi ve diğer bilgiler hakkında ayrıntılı bilgi sağladığını bildirdi.
Uzlaşma Göstergeleri
Dosyalar
| SHA-1 | Paket ismi | ESET algılama adı | Tanım |
| BAF6583C54FC680AA6F71F3B694E71657A7A99D0 | com.hello.chat | Android/Spy.VajraSpy.B | VajraSpy truva atı. |
| 846B83B7324DFE2B98264BAFAC24F15FD83C4115 | com.chit.chat | Android/Spy.VajraSpy.A | VajraSpy truva atı. |
| 5CFB6CF074FF729E544A65F2BCFE50814E4E1BD8 | com.meeete.org | Android/Spy.VajraSpy.A | VajraSpy truva atı. |
| 1B61DC3C2D2C222F92B84242F6FCB917D4BC5A61 | com.nidus.no | Android/Spy.Agent.BQH | VajraSpy truva atı. |
| BCD639806A143BD52F0C3892FA58050E0EEEF401 | com.rafaqat.news | Android/Spy.VajraSpy.A | VajraSpy truva atı. |
| 137BA80E443610D9D733C160CCDB9870F3792FB8 | com.tik.talk | Android/Spy.VajraSpy.A | VajraSpy truva atı. |
| 5F860D5201F9330291F25501505EBAB18F55F8DA | com.wave.chat | Android/Spy.VajraSpy.C | VajraSpy truva atı. |
| 3B27A62D77C5B82E7E6902632DA3A3E5EF98E743 | com.priv.talk | Android/Spy.VajraSpy.C | VajraSpy truva atı. |
| 44E8F9D0CD935D0411B85409E146ACD10C80BF09 | com.glow.glow | Android/Spy.VajraSpy.A | VajraSpy truva atı. |
| 94DC9311B53C5D9CC5C40CD943C83B71BD75B18A | com.letsm.chat | Android/Spy.VajraSpy.A | VajraSpy truva atı. |
| E0D73C035966C02DF7BCE66E6CE24E016607E62E | com.nionio.org | Android/Spy.VajraSpy.C | VajraSpy truva atı. |
| 235897BCB9C14EB159E4E74DE2BC952B3AD5B63A | com.qqc.chat | Android/Spy.VajraSpy.A | VajraSpy truva atı. |
| 8AB01840972223B314BF3C9D9ED3389B420F717F | com.yoho.talk | Android/Spy.VajraSpy.A | VajraSpy truva atı. |
Ağ
| IP | İhtisas | Barındırma sağlayıcısı | İlk görüş | Detaylar |
| 34.120.160[.]131 | merhaba-sohbet-c47ad-default-rtdb.firebaseio[.]comchit-chat-e9053-default-rtdb.firebaseio[.]commeetme-abc03-default-rtdb.firebaseio[.]comchatapp-6b96e-default-rtdb.firebaseio[.]comtiktalk-2fc98-default-rtdb.firebaseio[.]comwave-chat-e52fe-default-rtdb.firebaseio[.]compprivchat-6cc58-default-rtdb.firebaseio[.]comglowchat-33103-default-rtdb.firebaseio[.]comletschat-5d5e3-default-rtdb.firebaseio[.]comquick-chat-1d242-default-rtdb.firebaseio[.]comyooho-c3345-default-rtdb.firebaseio[.]iletişim | Google LLC | 2022-04-01 | VajraSpy C&C sunucuları |
| 35.186.236[.]207 | rafaqat-d131f-default-rtdb.asia-southeast1.firebaseatabase[.]uygulama | Google LLC | 2023-03-04 | VajraSpy C&C sunucusu |
| 160.20.147[.]67 | Yok | aurolojik GmbH | 2021-11-03 | VajraSpy C&C sunucusu |