Google Play’de Android için çeşitli kötü amaçlı Telegram klonları 60.000’den fazla kez yüklendi ve insanlara kullanıcı mesajlarını, kişi listelerini ve diğer verileri çalan casus yazılımlar bulaştırdı.
Uygulamaların Çince konuşan kullanıcılar ve Uygur etnik azınlığı için özel olarak tasarlanmış gibi görünmesi, iyi belgelenmiş devlet izleme ve baskı mekanizmalarıyla olası bağları akla getiriyor.
Uygulamalar, onları Google’a bildiren Kaspersky tarafından keşfedildi. Ancak araştırmacılar raporlarını yayınladığında bazı kötü amaçlı uygulamalar hâlâ Google Play üzerinden indirilebiliyordu.
Torjanlaştırılmış Telgraf
Kaspersky’nin raporunda sunulan Telegram uygulamaları, normal uygulamaya “daha hızlı” alternatifler olarak tanıtılıyor.
Raporda gösterilen örneklerin yükleme sayısı 60.000’in üzerinde olduğundan kampanyanın potansiyel hedefler havuzuna ulaşma konusunda orta düzeyde bir başarısı var.
Güvenlik analistleri, uygulamaların görünüşte orijinal Telegram ile aynı olduğunu ancak kodda veri çalmaya yönelik ek işlevler içerdiğini bildiriyor.
Özellikle ‘com’ adında ekstra bir paket var. Kullanıcının kişilerine erişen ve aynı zamanda kurbanın kullanıcı adını, kullanıcı kimliğini ve telefon numarasını toplayan wsys’.
Kullanıcı truva atı haline getirilmiş uygulama aracılığıyla bir mesaj aldığında, casus yazılım bir kopyasını doğrudan operatörün “sg” adresindeki komuta ve kontrol (C2) sunucusuna gönderir.[.]telgraf[.]kuruluş”
İletimden önce şifrelenen sızdırılan veriler, mesaj içeriklerini, sohbet/kanal başlığını ve kimliğini ve gönderenin adını ve kimliğini içerir.
Casus yazılım uygulaması aynı zamanda virüslü uygulamayı kurbanın kullanıcı adı ve kimliğinde ve kişi listesindeki değişiklikler açısından izler ve herhangi bir değişiklik olması durumunda en güncel bilgileri toplar.
Kötü niyetli Evil Telegram uygulamalarının ‘org.telegram.messenger.wab’ ve ‘org.telegram.messenger.wob’ paket adlarını kullandığını, meşru Telegram uygulamasının ise ‘org.telegram.messenger’ paket adını kullandığını belirtmek gerekir. .ağ.’
Google daha sonra bu Android uygulamalarını Google Play’den kaldırdı ve aşağıdaki açıklamayı BleepingComputer ile paylaştı.
“Uygulamalara yönelik güvenlik ve gizlilik iddialarını ciddiye alıyoruz ve bir uygulamanın politikalarımızı ihlal ettiğini tespit edersek gerekli önlemleri alıyoruz. Bildirilen tüm uygulamalar Google Play’den kaldırıldı ve geliştiriciler yasaklandı. Kullanıcılar ayrıca korunuyor Google Play Hizmetleri ile kullanıcıları uyarabilen veya Android cihazlarda kötü amaçlı davranışlar sergilediği bilinen uygulamaları engelleyebilen Google Play Koruma tarafından.” – Google.
Modifiye edilmiş mesajlaşma uygulamalarının tehlikeleri
Geçtiğimiz ayın sonlarında ESET, popüler açık kaynaklı Signal ve Telegram uygulamalarının daha zengin özelliklere sahip sürümleri olarak tanıtılan iki truva atı mesajlaşma uygulaması olan Signal Plus Messenger ve FlyGram hakkında uyarıda bulundu.
Artık Google Play ve Samsung Galaxy Store’dan kaldırılan bu uygulamalar, operatörleri Çin APT ‘GREF’in hedeflerini gözetlemesine olanak tanıyan BadBazaar kötü amaçlı yazılımını içeriyordu.
Bu yılın başlarında ESET, popüler mesajlaşma uygulamalarının truva atı haline getirilmiş sürümlerini dağıtan ve aynı zamanda Çince konuşan kullanıcıları da hedef alan iki düzine Telegram ve WhatsApp klon sitesini keşfetti.
Kullanıcıların mesajlaşma uygulamalarının orijinal sürümlerini kullanmaları ve gelişmiş gizlilik, hız veya diğer özellikler vaat eden çatallanmış uygulamaları indirmekten kaçınmaları önerilir.
Google, bu kötü amaçlı yüklemeleri durduramadı çünkü yayıncılar, tarama sonrası ve kurulum sonrası güncellemeler aracılığıyla kötü amaçlı kodlar sunuyor.
Temmuz ayında teknoloji devi, 31 Ağustos 2023’ten itibaren Google Play Store’da Android kullanıcılarının güvenliğini artırmayı amaçlayan bir işletme doğrulama sistemi uygulamaya yönelik bir stratejiyi açıklamıştı.