Google Play’de Haber Uygulaması Kılığında Yeni Android Kötü Amaçlı Yazılım


Araştırmacılar tarafından on iki kötü amaçlı Android casusluk uygulaması keşfedildi; bunların tümü, VajraSpy olarak bilinen bir uzaktan erişim truva atı (RAT) kodunu çalıştırıyordu.

Bunlardan altısının Google Play Store’da mevcut olduğu, diğer altısının ise VirusTotal ile keşfedildiği ortaya çıktı.

Bu uygulamaların tümü, VajraSpy RAT kodu ve geliştirici sertifikasıyla birlikte verilen mesajlaşma platformu gibi çeşitli benzerlikleri paylaşıyor.

Bu uygulamaların yüklenme tarihi Nisan 2021 ile Mart 2023 arasındaydı. Bu başvurulardan sadece birinin diğerlerinden farklılaşan yeni bir uygulama olduğu görüldü.

Belge

Posta Kutunuzda Ücretsiz ThreatScan’i Çalıştırın

Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.

En eski uygulamanın 1 Nisan 2021’de yüklenen Privee Talk olduğu, en son uygulamanın ise Eylül 2023’te ortaya çıkan Wave Chat olduğu keşfedildi.

Tüm bu uygulamaların toplamında yaklaşık 1400 kurulum gerçekleşti. Kötü amaçlı uygulamaların listesi aşağıdaki gibidir:

  • Refakat dostluğu
  • Özel konuşma
  • Benimle tanış
  • Muhabbet edelim
  • Hızlı sohbet
  • Geyik sohbetler
  • TikTalk
  • Merhaba Sohbet
  • YohooTalk
  • Yuva
  • GlowChat
  • Dalga Sohbeti
  • Uygulamaya tıklayın
  • Çılgın konuşma
Giriş Ekranı Kötü Amaçlı Sohbet Uygulamaları (Kaynak: ESET)
Giriş Ekranı Kötü Amaçlı Sohbet Uygulamaları (Kaynak: ESET)

Google Play’de Android Kötü Amaçlı Yazılım

Cyber ​​Security News ile paylaşılan raporlara göre VajraSpy, tüm kötü amaçlı uygulamalarda aynı sınıf adlarını kullanan kullanıcı verilerine sızmak için kullanılabilecek özelleştirilebilir bir truva atıdır.

Aynı kötü amaçlı uygulama sınıfları (Kaynak: ESET)
Aynı kötü amaçlı uygulama sınıfları (Kaynak: ESET)

Ek olarak, gözlemlenen tüm uygulamalar, veri sızıntısı için aynı çalışan sınıflarını paylaşıyordu. Ancak truva atı haline getirilmiş uygulamalar şu şekilde üç gruba ayrılabilir:

  1. Temel işlevlere sahip truva atı haline getirilmiş mesajlaşma uygulamaları
  2. Gelişmiş işlevlere sahip truva atı haline getirilmiş mesajlaşma uygulamaları
  3. Mesajlaşma dışı uygulamalar
Başvuruların Zaman Çizelgesi (Kaynak: ESET)
Başvuruların Zaman Çizelgesi (Kaynak: ESET)

Trojanlı Mesajlaşma Uygulamaları

Bu grup, MeetMe, Privee Talk, Let’s Chat, Quick Chat, GlowChat ve Chit Chat gibi Google Play’de bulunan kötü amaçlı uygulamalardan oluşur. Ayrıca Google Play’de bulunmayan Merhaba Sohbet’i de içerir.

Bu uygulama grubu standart bir mesajlaşma işlevine sahiptir ve başlangıçta bir hesap oluşturulmasını gerektirir.

Ayrıca OTP SMS kodları kullanılarak cep telefonu numarası doğrulaması da yapılmaktadır. Ancak bu adımın başarısı ne olursa olsun VajraSpy zaten çalışıyor olduğundan bu alakasız bir adımdır.

Ayrıca telefon numarası doğrulamanın, mağdurun ülke kodunu öğrenmenin bir yolu olarak tehdit aktörleri tarafından gerçekleştirildiği tahmin ediliyor.

Bu grup altında kategorize edilen uygulamaların tamamı aşağıdaki verileri sızdırma yeteneğine sahiptir.

  • Kişiler,
  • SMS mesajları,
  • arama kayıtları,
  • cihaz konumu,
  • yüklü uygulamaların bir listesi ve
  • belirli uzantılara sahip dosyalar (.pdf, .doc, .docx, .txt, .ppt, .pptx, .xls, .xlsx, .jpg, .jpeg, .png, .mp3, .Om4a, .aac ve .opus) ).

Trojanlı Mesajlaşma Uygulamaları

Gelişmiş işlevlere sahip truva atı haline getirilmiş mesajlaşma uygulamaları

Bu grup TikTalk, Nidus, YohooTalk, Crazy Talk ve Wave Chat uygulamalarından oluşmaktadır. Bu uygulamalar WhatsApp, WhatsApp Business ve sinyal iletişimini ele geçirme gibi genişletilmiş yetenekleri gerçekleştirir.

Ayrıca VajraSpy, Firebase tarafından barındırılan C&C sunucusuna yüklenen konsoldaki ve yerel veritabanındaki bu uygulamalardan gelen tüm görünür iletişimleri de günlüğe kaydeder. Bunun dışında bu uygulamalar herhangi bir cihaz bildirimini de engelleyebilir.

Grup içindeki uygulamalardan biri olan Wave Chat’in aşağıdaki gibi ek yeteneklere sahip olduğu görüldü:

  • telefon görüşmelerini kaydetme,
  • WhatsApp, WhatsApp Business, Signal ve Telegram’dan gelen çağrıları kaydedin,
  • tuş vuruşlarını günlüğe kaydetme,
  • kamerayı kullanarak fotoğraf çekmek,
  • Çevredeki sesi kaydedin ve
  • Wi-Fi ağlarını tarayın.

Mesajlaşma dışı uygulamalar

Daha önce de belirttiğimiz gibi sohbet dışı tek uygulama olan bu gruba yalnızca Refaqat رفاقت uygulaması aittir. Bu uygulama telefon numarası istemesine rağmen herhangi bir doğrulama işlemi gerçekleştirmiyor.

Bu uygulamanın ayrıca bildirimleri ele geçirebildiği ve .pdf, .doc, .docx, .txt, .ppt, .pptx, .xls, .xlsx, .jpg, .jpeg gibi belirli uzantılara sahip kişileri ve dosyaları dışarı sızdırabildiği bulunmuştur. .png, .mp3, .Om4a, .aac ve .opus.

ESET, bu uygulamaların yayınlandığını, kaynak kodu, uygulama analizi, kötü amaçlı yazılım analizi ve diğer bilgiler hakkında ayrıntılı bilgi sağladığını bildirdi.

Uzlaşma Göstergeleri

Dosyalar

SHA-1 Paket ismi ESET algılama adı Tanım
BAF6583C54FC680AA6F71F3B694E71657A7A99D0 com.hello.chat Android/Spy.VajraSpy.B VajraSpy truva atı.
846B83B7324DFE2B98264BAFAC24F15FD83C4115 com.chit.chat Android/Spy.VajraSpy.A VajraSpy truva atı.
5CFB6CF074FF729E544A65F2BCFE50814E4E1BD8 com.meeete.org Android/Spy.VajraSpy.A VajraSpy truva atı.
1B61DC3C2D2C222F92B84242F6FCB917D4BC5A61 com.nidus.no Android/Spy.Agent.BQH VajraSpy truva atı.
BCD639806A143BD52F0C3892FA58050E0EEEF401 com.rafaqat.news Android/Spy.VajraSpy.A VajraSpy truva atı.
137BA80E443610D9D733C160CCDB9870F3792FB8 com.tik.talk Android/Spy.VajraSpy.A VajraSpy truva atı.
5F860D5201F9330291F25501505EBAB18F55F8DA com.wave.chat Android/Spy.VajraSpy.C VajraSpy truva atı.
3B27A62D77C5B82E7E6902632DA3A3E5EF98E743 com.priv.talk Android/Spy.VajraSpy.C VajraSpy truva atı.
44E8F9D0CD935D0411B85409E146ACD10C80BF09 com.glow.glow Android/Spy.VajraSpy.A VajraSpy truva atı.
94DC9311B53C5D9CC5C40CD943C83B71BD75B18A com.letsm.chat Android/Spy.VajraSpy.A VajraSpy truva atı.
E0D73C035966C02DF7BCE66E6CE24E016607E62E com.nionio.org Android/Spy.VajraSpy.C VajraSpy truva atı.
235897BCB9C14EB159E4E74DE2BC952B3AD5B63A com.qqc.chat Android/Spy.VajraSpy.A VajraSpy truva atı.
8AB01840972223B314BF3C9D9ED3389B420F717F com.yoho.talk Android/Spy.VajraSpy.A VajraSpy truva atı.

IP İhtisas Barındırma sağlayıcısı İlk görüş Detaylar
34.120.160[.]131 merhaba-sohbet-c47ad-default-rtdb.firebaseio[.]comchit-chat-e9053-default-rtdb.firebaseio[.]commeetme-abc03-default-rtdb.firebaseio[.]comchatapp-6b96e-default-rtdb.firebaseio[.]comtiktalk-2fc98-default-rtdb.firebaseio[.]comwave-chat-e52fe-default-rtdb.firebaseio[.]compprivchat-6cc58-default-rtdb.firebaseio[.]comglowchat-33103-default-rtdb.firebaseio[.]comletschat-5d5e3-default-rtdb.firebaseio[.]comquick-chat-1d242-default-rtdb.firebaseio[.]comyooho-c3345-default-rtdb.firebaseio[.]iletişim Google LLC 2022-04-01 VajraSpy C&C sunucuları
35.186.236[.]207 rafaqat-d131f-default-rtdb.asia-southeast1.firebaseatabase[.]uygulama Google LLC 2023-03-04 VajraSpy C&C sunucusu
160.20.147[.]67 Yok aurolojik GmbH 2021-11-03 VajraSpy C&C sunucusu



Source link