ESET araştırmacıları, bir görüntülü sohbet platformu olan Shagle için bir uygulama arayan Android kullanıcılarını hedefleyen bir casusluk kampanyası buldu. Shagle’ı taklit eden truva atlı sahte uygulama, Telegram uygulamasının Android sürümü kullanılarak yapılmıştır.
Orijinal Shagle web sitesi görüntülü sohbetler için bir uygulama sunmazken, StrongPity casusluk çetesi tarafından yapılan sahte Shagle web sitesi, Android çalıştıran cihazlar için kullanılabilen bir uygulama sunuyor. Ancak, uygulama Google Play Store’da dağıtılmamaktadır.
Shagle’ı taklit eden sahte uygulamayı dağıtan StrongPity casusluk kampanyası
Açık kaynaklı Telegram uygulaması, StrongPity arka kapı koduna sahip Shagle’ı taklit eden sahte uygulamayı oluşturmak için kullanılır.
Araştırmacılar ayrıca, Shagle uygulamasındaki kötü amaçlı yazılımın sürümünün belirli bir zamanda aktif olmadığını, ancak StrongPity’nin kampanyayı yeniden başlatma planlarını değiştirmesi durumunda güncellenebileceğini de buldu.
Araştırma, uygulamanın araştırma sırasında yüklenemeyeceğini ve arka kapı işlevselliğinin tetiklenemeyeceğini okudu.
Bu uygulamanın herhangi bir kurbanı bulamadılar, bu da belirli bireyler veya kuruluşlar için oldukça hedefli bir kampanya olduğu yönünde spekülasyonlara yol açtı. En son 25 Şubat 2022 civarında mevcuttu.
Aşağıdakiler, Shagle’ı taklit eden sahte uygulamanın yetenekleridir. Yapabilir:
- Aramaları kaydet
- SMS toplayın
- Arama günlüklerine erişin
- Kişi listelerini kopyala
- Erişilebilirlik hizmetlerini etkinleştirme isteği
- Cihaz rootlu ise sessizce izin verme
Cihaz rootlanmışsa, diğerlerinin yanı sıra WRITE_SETTINGS, MODIFY_PHONE_STATE ve READ_PRIVILEGED_PHONE_STATE izinlerini sessizce verir.
Shagle’ı taklit eden sahte uygulamaya genişletilmiş izinler verilirse, cihazdaki diğer 17 uygulamadan gelen bildirimlere ve sızdırma mesajlarına da erişebilir. Bunlar:
- haberci
- Gmail
- Tinder
- Viber
- Skype
- Messenger Lite
- HAT: Aramalar ve Mesajlar
- Kik – Mesajlaşma ve Sohbet Uygulaması
- tango-canlı buhar ve görüntülü sohbet
- Hangout’lar
- Telgraf
- Snapchat
- Zam Haberleri ve İçeriği
- imo-Uluslararası Aramalar ve Sohbet
Shagle’ı taklit eden sahte uygulamanın teknik detayları
Kötü amaçlı etkinlikler ilk olarak BOOT_COMPLETED, BATTERY_LOW veya USER_PRESENT dahil olmak üzere tanımlanmış eylemlerin yürütülmesi üzerine tetiklendi.
Kendi bileşenleri arasında etkileşim kurmak ve komutlarını başlatmak için süreçler arası iletişimi (IPC) kullandı. Daha sonra sistem verilerini HTTPS kullanarak C&C sunucusuna gönderir.
11 ikili modüle sahip alınan AES şifreli dosya, uygulamanın /data/user/0/org.telegram.messenger/files/.li/ adresindeki dahili depolama alanına kaydedilir.
Modüller, ana uygulama tarafından dinamik olarak tetiklenecek olan shareedconfig.xml dosyasına kaydedilir.
libarm.jar (cm modülü) modülü telefon görüşmelerini kaydetmekten sorumluyken, services.jar (lo modülü) cihaz konumunu almak için kullanıldı.
Kopyalanan cihaz verileri /data/user/0/org.telegram.messenger/databases/outdata veritabanında saklanır ve ardından aşağıdaki şekilde gösterildiği gibi şifrelenir ve C&C sunucusuna gönderilir:
(Kaynak: welivesecurity)
Bu kampanya tarafından kullanılan alan adı ‘hollandalı’ kelimesini içeriyordu. Sahte Shagle web sitesinde bulunan HTML kodu, 1 Kasım 2021’de orijinal shagle.com web sitesinden kopyalanmıştır.
Alan adı da aynı gün tescil edilmiştir. Kod, otomatikleştirilmiş HTTrack aracı kullanılarak alınmıştır.
Shagle uygulamaları arka kapı kodunun ihtiyaç duyduğu bileşenler ve izinler için Telegram uygulamasının AndroidManifest.xml dosyası kullanıldı.
Ayrıca org.telegram.messenger paketi, sahte Shagle uygulamasının yasal görünmesini sağlamak için kötü amaçlı sınıflar eklemek için kullanıldı.
Shagle’ı taklit eden sahte uygulama, Telegram sürüm 7.5.0’ı (22467) kullanıyor. Android uygulamaları için paket adlarının benzersiz kimlikler olması gerekirken, bu truva atına bulaştırılmış android uygulaması, resmi Telegram uygulamasıyla aynı şeyi kullandı.
Bu aynı zamanda, orijinal Telegram uygulamasını kullanan kullanıcıların kötü amaçlı Shagle uygulamasını yükleyemeyeceğini de gösterir.
Araştırmacılar, bunun Telegram uygulamasını kullananlara göre hedefleri daraltmak için bir manevra olabileceğini savunuyor. Hatta kullanıcıları Telegram’ı kaldırmaya ikna edebilirler veya StrongPity, daha az Telegram kullanıcısı olan ülkelerde bu kötü niyetli kampanyayı başlatmaya odaklanmıştı.
Telegram’ın hata belgeleri, StrongPity geliştiricilerinin ilk test için kendi API kimliklerini almadıklarını ve örnek API kimliğini Telegram’ın açık kaynak kodundan kopyaladıklarını açıkladı.
Telegram örnek bir API Id’nin limit dışında kullanılmasına izin vermediği için araştırmacılar telefon numarası kullanarak kayıt olurken bir hata mesajı aldılar.
Araştırma sırasında sahte Shagle uygulamasının çalışan yeni bir sürümü de bulunamadı. Bu, kampanyanın feshedilmiş olabileceğini gösteriyor. Ayrıca, belirlenen hedeflerinin erken bir aşamada mağdur edilmiş olabileceğini de öne sürüyor.
Bu kampanya ile önceki Android kampanyası arasındaki benzerlik
Araştırmacılar, bu uygulamanın grup tarafından önceki bir kampanyada kullanılanla eşleşen bir sertifika imzası kullandığını keşfetti.
2021’de keşfedilen önceki kampanya, StrongPity casusluk grubuna atfedilen diğer tek kötü niyetli Android kampanyasıydı. Kötü niyetli bir Suriye e-devlet uygulamasıyla ilgiliydi.
SHA-1 kullanan her iki kampanya arasındaki arka kapı kodu karşılaştırıldığında: 5A5910C2C9180382FCF7A939E9909044F0E8918B, yeni kampanyanın önceki uygulamada sunulanla aynı kod ve benzer işlevlerle bazı ek işlevler sunduğu bulundu.