Telegram’ın değiştirilmiş sürümleri gibi görünen casus yazılımlar, güvenliği ihlal edilmiş Android cihazlardan hassas bilgileri toplamak için tasarlanmış Google Play Store’da tespit edildi.
Kaspersky güvenlik araştırmacısı Igor Golovin’e göre uygulamalar, isimleri, kullanıcı kimliklerini, kişileri, telefon numaralarını ve sohbet mesajlarını yakalayıp aktörlerin kontrol ettiği bir sunucuya sızdırmak için kötü özelliklerle geliyor.
Etkinliğin kod adı verildi Kötü Telgraf Rus siber güvenlik şirketi tarafından.
Uygulamalar, Google tarafından kaldırılmadan önce toplu olarak milyonlarca kez indirildi. Bunların detayları aşağıdaki gibidir:
- Telegram, Paper Plane-TG Geleneksel Çince Versiyonu veya Telegram, Small Plane-TG Geleneksel Çince Versiyonu (org.telegram.messenger.wab) – 10 milyondan fazla indirme
- TG Geleneksel Çince versiyonu-Telegram, Paper Plane (org.telegram.messenger.wab) – 50.000’den fazla indirme
- Telegram, Paper Plane-TG Basitleştirilmiş Çince sürümü (org.telegram.messenger.wob) – 50.000’den fazla indirme
- Telegraph, Paper Plane-TG Basitleştirilmiş Çince versiyonu (org.tgcn.messenger.wob) – 10.000’den fazla indirme
- Uygur TG – Telegram (org.telegram.messenger.wcb) – 100’den fazla indirme
Listedeki son uygulama “Telegram – TG Uyghur” anlamına geliyor ve Uygur topluluğunu hedef almaya yönelik açık bir girişime işaret ediyor.
Telegram’ın Play Store sürümüyle ilişkili paket adının “org.telegram.messenger” olduğunu, Telegram’ın web sitesinden doğrudan indirilen APK dosyasının paket adının ise “org.telegram.messenger.web” olduğunu belirtmekte fayda var.
Bu nedenle, kötü amaçlı paket adları için “wab”, “wcb” ve “wob” kullanımı, tehdit aktörünün meşru Telegram uygulaması gibi görünüp gözden kaybolmak için yazım hatası tekniklerine güvendiğini vurguluyor.
Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması
MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin
Becerilerinizi Güçlendirin
Şirket, “İlk bakışta bu uygulamalar, yerelleştirilmiş bir arayüze sahip tam teşekküllü Telegram klonları gibi görünüyor” dedi. “Her şey neredeyse gerçeğiyle aynı görünüyor ve çalışıyor. [But] Google Play moderatörlerinin dikkatinden kaçan küçük bir fark var: virüslü sürümler ek bir modül barındırıyor:”
Açıklama, ESET’in, sohbet yedeklerini toplamak için Telegram’ın hileli bir sürümünden yararlanan resmi uygulama pazarını hedef alan bir BadBazaar kötü amaçlı yazılım kampanyasını ortaya çıkarmasından birkaç gün sonra geldi.
Benzer taklit Telegram ve WhatsApp uygulamaları, daha önce Mart 2023’te Slovak siber güvenlik şirketi tarafından ortaya çıkarılmıştı. Bu uygulamalar, sohbet mesajlarındaki cüzdan adreslerini ele geçirmek ve değiştirmek ve kripto para transferlerini saldırganın sahip olduğu cüzdanlara yönlendirmek için kesme işleviyle donatılmıştı.