Silahlı Telegram Uygulaması 60.000’den Fazla Android Kullanıcısına Etkilendi

   Eylül 11, 2023  Posted in CyberSecurityNews


Silahlandırılmış Telegram Uygulaması

Telegram Messenger, çeşitli özelliklere sahip küresel, bulut tabanlı anlık mesajlaşma sunar: –

  • İsteğe bağlı uçtan uca şifreleme
  • Görüntülü arama
  • VoIP
  • Dosya paylaşımı

Securlist’teki siber güvenlik araştırmacıları kısa süre önce Google Play’de çeşitli dillerde (geleneksel Çince, basitleştirilmiş Çince ve Uygurca) çeşitli Telegram modları buldular ve küresel veri merkezleri ağına sahip en hızlı uygulamalar olduklarını iddia ettiler.

Google Play’deki Telegram modları (Kaynak – Güvenli Liste)

Google Play testlerine rağmen Telegram modları risk taşıyor; Tehdit aktörleri kendi versiyonlarına nüfuz edip satıyor. Araştırmacılar, lansman sırasında orijinal Telegram ile aynı görünen böyle bir modu analiz etti.

Kötü Amaçlı Telegram Uygulamaları

Kodun incelenmesi görünüşte sıradan bir Telegram modunu ortaya çıkarıyor, ancak com.wsys adlı bir paket öne çıkıyor ve işlevleri hakkında daha fazla araştırma yapılmasına yol açıyor.

Şüpheli com.wsys kütüphanesi (Kaynak – Güvenli Liste)

Com.wsys ile bağlantılı işlevler, standart özelliklerin bir parçası olmadığı için şüphe uyandıran kullanıcı kişilerine erişiyor gibi görünüyor.

Com.wsys kitaplığı, ana etkinlik sınıfının bağlantılı soket () yöntemiyle çalışır, kullanıcı bilgilerini toplar ve uygulama başlatıldığında veya hesap değiştirildiğinde bir komut sunucusuna bağlanır.

Kullanıcılar mesaj alırken başka bir sürprizle karşılaşıyor: Tehdit aktörleri, temiz Telegram sürümünde bulunmayan uploadTextMessageToService yöntemini gelen mesaj işleme koduna ekledi.

Kötü amaçlı yazılım gelen mesajı işliyor (Kaynak – Güvenli Liste)

Mesaj alındığında, uploadTextMessageToService aşağıdaki verileri yakalayarak bunları tgsync.s3’te şifreleyerek komut sunucusuna gönderir: –

Bu yöntem, aşağıdaki kullanıcı iletişim bilgilerini toplar ve ardından kullanıcının adını veya numarasını değiştirmesi durumunda yapılan güncellemeler de dahil olmak üzere tümü komut sunucusuna gönderilir: –

  • Kimlikler
  • Takma adlar
  • İsimler
  • Telefon numaraları

Bunun yanı sıra uygulama, alınan veya gönderilen dosyaları şifreler ve saldırganların popüler bulut depolama alanındaki hesaplarına iletir.

Öneri

Özellikle Çin’de resmi olmayan Telegram modlarını kullanan son saldırılar, kripto cüzdanı dolandırıcılığının ve reklam sahtekarlığının ötesine geçiyor ve Google Play güvenlik kontrolleri için orijinal Telegram kodunu yakından taklit eden tam teşekküllü bir casus yazılım gibi görünüyor.

Resmi mağazalar uygulama güvenliğini garanti etmez; bu nedenle Google Play’de bile üçüncü taraf mesajlaşma modlarına karşı dikkatli olun. Tehdidin bildirilmesine rağmen bazı uygulamalar indirilmeye devam ediyor.

IOC’ler

MD5

  • 39df26099caf5d5edf264801a486e4ee
  • b9e9a29229a10deekc104654cb7c71ae
  • e0dab7efb9cea5b6a010c8c5fee1a285
  • Efcbcd6a2166745153c329fd2d486b3a
  • 8e878695aab7ab16e38265c3a5f17970
  • 65377fa1d86351c7bd353b51f68f6b80
  • 19f927386a03ce8d2866879513f37ea0
  • a0e197b9c359b89e48c3f0c01af21713
  • c7a8c3c78ac973785f700c537fbfcb00

K&K

Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.





Source link