ESET araştırmacıları, Telegram ve Signal araçlarının arkasındaki tehdit aktörlerinin Çin bağlantılı APT grubu GREF’e atfedildiği, Android kullanıcılarını hedef alan iki aktif kampanya belirledi.
Büyük ihtimalle Temmuz 2020’den bu yana ve Temmuz 2022’den bu yana aktif olan kampanyalar, Android BadBazaar casusluk kodunu Google Play mağazası, Samsung Galaxy Store ve yasal şifreli sohbet uygulamaları gibi görünen özel web siteleri aracılığıyla dağıttı; kötü amaçlı uygulamalar FlyGram ve Signal Plus Messenger.
Tehdit aktörleri sahte Signal ve Telegram uygulamalarından yararlanıyor
Tehdit aktörleri, Android için açık kaynaklı Signal ve Telegram uygulamalarına kötü amaçlı kod yamaları uygulayarak sahte Signal ve Telegram uygulamalarındaki işlevleri elde etti. Signal Plus Messenger, bir kurbanın Signal iletişimlerinin gözetlendiği belgelenen ilk vakadır; binlerce kullanıcı casus uygulamaları indirdi. ESET telemetrisi, çeşitli AB ülkeleri, Amerika Birleşik Devletleri, Ukrayna ve dünya çapındaki diğer yerlerdeki Android cihazlarda tespitler bildirdi. Her iki uygulama da daha sonra Google Play’den kaldırıldı.
Keşfi gerçekleştiren ESET araştırmacısı Lukáš Štefanko, “BadBazaar ailesinden gelen kötü amaçlı kod, kurbanlara çalışan bir uygulama deneyimi sağlayan ancak arka planda casusluğun gerçekleştiği truva atı haline getirilmiş Signal ve Telegram uygulamalarında gizlendi” diyor. “BadBazaar’ın asıl amacı cihaz bilgilerini, kişi listesini, arama kayıtlarını ve yüklü uygulamaların listesini sızdırmak ve kurbanın Signal Plus Messenger uygulamasını saldırganın cihazına gizlice bağlayarak Signal mesajları üzerinde casusluk yapmaktır” diye ekliyor.
ESET telemetrisi Avustralya, Brezilya, Danimarka, Demokratik Kongo Cumhuriyeti, Almanya, Hong Kong, Macaristan, Litvanya, Hollanda, Polonya, Portekiz, Singapur, İspanya, Ukrayna, ABD ve Yemen’den tespitleri rapor ediyor. Ayrıca bir Uygur Telegram grubunda Google Play mağazasındaki FlyGram bağlantısı da paylaşıldı. BadBazaar kötü amaçlı yazılım ailesinin uygulamaları daha önce Çin dışındaki Uygurlara ve diğer Türk etnik azınlıklara karşı kullanılmıştı.
ESET ve Google kötü amaçlı uygulamayı kaldırıyor
Google App Defense Alliance ortağı olan ESET, Signal Plus Messenger’ın en son sürümünün kötü amaçlı olduğunu belirledi ve bulgularını derhal Google ile paylaştı. Uyarımızın ardından uygulama Mağaza’dan kaldırıldı. Her iki uygulama da aynı geliştirici tarafından oluşturuldu ve aynı kötü amaçlı özellikleri paylaşıyor ve her iki mağazadaki uygulama açıklamaları da aynı geliştirici web sitesine atıfta bulunuyor.
Uygulamanın ilk başlatılmasından sonra kullanıcının, tıpkı Android için resmi Signal uygulamasında olduğu gibi, meşru Signal işlevselliği aracılığıyla Signal Plus Messenger’da oturum açması gerekir. Signal Plus Messenger oturum açtıktan sonra komuta ve kontrol (C&C) sunucusuyla iletişim kurmaya başlar. Signal Plus Messenger, “cihazı bağlama” özelliğini kötüye kullanarak Signal mesajlarını gözetleyebilir.
Bunu, ele geçirilen cihazı otomatik olarak saldırganın Signal cihazına bağlayarak yapar. Bu casusluk yöntemi benzersizdir: Araştırmacılar bu işlevselliğin daha önce başka kötü amaçlı yazılımlar tarafından kötüye kullanıldığını görmemişlerdir ve bu, saldırganın Signal mesajlarının içeriğini elde edebileceği tek yöntemdir. ESET Araştırma, Signal geliştiricilerini bu boşluk hakkında bilgilendirdi.
Sahte Telegram uygulaması FlyGram ile ilgili olarak, kurbanın resmi Telegram uygulamasının gerektirdiği şekilde meşru Telegram işlevselliğini kullanarak giriş yapması gerekiyor. Oturum açma işlemi tamamlanmadan önce FlyGram, C&C sunucusuyla iletişim kurmaya başlar ve BadBazaar, hassas bilgileri cihazdan sızdırma yeteneği kazanır.
Kullanıcı, saldırganlar tarafından eklenen belirli bir özelliği etkinleştirmişse FlyGram, Telegram yedeklemelerine erişebilir; özellik en az 13.953 kullanıcı hesabı tarafından etkinleştirildi. Saldırganın proxy sunucusu bazı meta verileri günlüğe kaydedebilir ancak Telegram’ın kendi içinde değiştirilen gerçek verilerin ve mesajların şifresini çözemez. Signal Plus Messenger’ın aksine FlyGram, bir Telegram hesabını saldırgana bağlama veya kurbanlarının şifreli iletişimlerine müdahale etme yeteneğinden yoksundur.