BadBazaar casus yazılımını içeren Truva atı haline getirilmiş Signal ve Telegram uygulamaları, GREF olarak bilinen Çinli bir APT hack grubu tarafından Google Play ve Samsung Galaxy Store’a yüklendi.
Bu kötü amaçlı yazılım daha önce Çin’deki etnik azınlıkları hedeflemek için kullanılmıştı ancak ESET’in telemetrisi, saldırganların bu kez Ukrayna, Polonya, Hollanda, İspanya, Portekiz, Almanya, Hong Kong ve ABD’deki kullanıcıları hedef aldığını gösteriyor.
BadBazaar’ın yetenekleri arasında cihazın kesin konumunu takip etmek, arama kayıtlarını ve SMS’leri çalmak, telefon görüşmelerini kaydetmek, kamerayı kullanarak fotoğraf çekmek, kişi listelerini sızdırmak ve dosya veya veritabanlarını çalmak yer alıyor.
BadBazaar kodunu içeren truva atı haline getirilmiş uygulamalar, ESET araştırmacısı Lukas Stefanko tarafından keşfedildi.
Trojanlı sohbet uygulamaları
GREF’in kampanyasında kullandığı iki uygulama ‘Signal Plus Messenger’ ve ‘FlyGram’ olarak adlandırılıyor; her ikisi de popüler açık kaynaklı IM uygulamaları Signal ve Telegram’ın yamalı versiyonları.
Tehdit aktörleri ayrıca “signalplus” adresinde özel web siteleri de kurdular.[.]org” ve “flygram”[.]Kötü amaçlı yazılım kampanyasına meşruiyet kazandırmak için “.org”, uygulamayı Google Play’den veya doğrudan siteden yüklemek için bağlantılar sunar.
ESET, FlyGram’ın kişi listeleri, arama kayıtları, Google Hesapları ve WiFi verileri gibi hassas verileri hedeflediğini ve ayrıca Telegram iletişim verilerini saldırganın kontrolündeki bir sunucuya gönderen tehlikeli bir yedekleme özelliği sunduğunu bildiriyor.
Mevcut verilerin analizi, en az 13.953 FlyGram kullanıcısının bu yedekleme özelliğini etkinleştirdiğini gösteriyor ancak casus yazılım uygulamasının toplam kullanıcı sayısı tanımsız.
Signal klonu benzer bilgileri toplar ancak daha çok kurbanın iletişimleri ve hesabını yetkisiz erişime karşı koruyan PIN gibi Signal’e özgü bilgileri çıkarmaya odaklanır.
Ancak sahte Signal uygulaması, saldırganın kurbanın Signal hesaplarını saldırgan tarafından kontrol edilen cihazlara bağlamasına ve böylece saldırganların gelecekteki sohbet mesajlarını görebilmesine olanak tanıdığı için saldırıyı daha ilginç hale getiren bir özellik içeriyor.
Signal, birden fazla cihazı tek bir hesaba bağlayarak sohbet mesajlarının hepsinden görülebilmesini sağlayan QR kodu tabanlı bir özellik içerir.
Kötü amaçlı Signal Plus Messenger, QR kodu bağlama işlemini atlayarak ve kurbanın haberi olmadan kendi cihazlarını otomatik olarak kurbanların Signal hesaplarına bağlayarak bu özelliği kötüye kullanıyor. Bu, saldırganların Signal hesabından gelecek tüm mesajları izlemesine olanak tanır.
ESET, “Casusluktan sorumlu kötü amaçlı yazılım BadBazaar, C&C sunucusundan gerekli URI’yi alarak ve Cihazı bağla düğmesi tıklatıldığında doğrudan gerekli eylemi tetikleyerek olağan QR kod tarama ve kullanıcı tıklama sürecini atlıyor” diye açıklıyor.
“Bu, kötü amaçlı yazılımın kurbanın akıllı telefonunu saldırganın cihazına gizlice bağlamasına ve Şekil 12’de gösterildiği gibi kurbanın bilgisi olmadan Signal iletişimlerini gözetlemelerine olanak tanıyor.”
ESET, Signal mesajlarının içeriğini elde etmenin tek yolu olduğundan Signal’i gözetlemenin bu yönteminin daha önce kullanıldığını söylüyor.
Hileli cihazların Signal hesabınıza bağlı olup olmadığını anlamak için gerçek Signal uygulamasını başlatın, Ayarlar’a gidin ve tüm bağlı cihazları görüntülemek ve yönetmek için “Bağlantılı Cihazlar” seçeneğine dokunun.
FlyGram, Temmuz 2020’de Google Play’e yüklendi ve bu kanal aracılığıyla toplam 5.000 yükleme toplayarak 6 Ocak 2021’de kaldırıldı.
Signal Plus Messenger, Temmuz 2022’de Google Play ve Samsung Galaxy mağazasına yüklenmiş, Google ise 23 Mayıs 2023’te kaldırmıştır.
Bunu yazdığım sırada BleepingComputer, her iki uygulamanın da Samsung Galaxy Store’da hâlâ mevcut olduğunu doğruladı.
Android kullanıcılarının Signal ve Telegram’ın orijinal sürümlerini kullanmaları ve resmi uygulama mağazalarında bulunsalar bile gelişmiş gizlilik veya ek özellikler vaat eden fork uygulamalarını indirmekten kaçınmaları tavsiye ediliyor.