Yeni bir tehdit kampanyası, Android kullanıcılarını yüzlerce kötü amaçlı alandan sahte telgraf uygulamalarını indirmeye kandırıyor. Son haftalarda aktif olan işlem, benzeri web siteleri, QR kodu yönlendirmeleri ve tehlikeli izinler ve uzaktan yürütme özelliklerine bağlı değiştirilmiş bir APK kullanır.
Tehdit istihbarat ekibi kampanyaya bağlı 607 alanını belirledi. Tüm Gname Kayıt Şirketi aracılığıyla kayıtlı ve Çin’de barındırılan resmi telgraf indirme sayfaları olarak tümü. Bazı siteler gibi alan adları kullanır teleqram, telegramapp, Ve telegramdl Markayı taklit etmek için, hafif yazım değişiklikleri fark etmeyen kullanıcıları hedeflemek.
Sahte uygulama, gerçek hasar
Bforei’nin Hackread.com ile Salı günü yayınlanmadan önce paylaşılan blog yazısına göre, kurbanlardan bağlantılar veya QR kodları aracılığıyla Telegram Messenger uygulaması gibi görünen şeyi indirmeleri isteniyor.
Araştırmacılar ayrıca 60MB ve 70MB boyutunda APK’nın iki versiyonunu gözlemlediler. Kurulduktan sonra, uygulama yüzeydeki gerçek şey gibi davranır, ancak sessizce geniş izinler verir ve uzaktan komut yürütmeyi mümkün kılar.
Dikkat çekici olan şey, bu kampanyada kullanılan kimlik avı sitelerinin kişisel bloglara veya gayri resmi hayran sayfalarına benzemesidir. Tipik bir örnek, kullanıcıları yönlendirir zifeiji(.)asiaTelegram’ın favicon, indir düğmeleri ve renklerle şekillendirilmiş bir site. Sayfa başlıkları, kullanıcıları uygulamanın gerçek niyetinden uzaklaştırırken, arama sonuçlarında görünürlüğü artırmak için bir girişim gibi görünen “Paper Plane Resmi Web Sitesi İndir” gibi SEO cümlelerle yüklenir.
Janus Güvenlik Açığı Yeniden Yenileme
Kötü niyetli APK, eski bir V1 imza şemasıyla imzalanmıştır, bu da Android sürümlerini 5.0 ila 8.0 etkileyen Janus güvenlik açığına karşı savunmasız hale getirir. Janus, tehdit aktörlerinin imzasını değiştirmeden meşru bir APK’ya zararlı kod eklemesine izin verir. Bu durumda, kötü amaçlı yazılım, standart algılama yöntemlerini atlamasına yardımcı olan geçerli bir imza tutar.
Bir cihazda bir kez, uygulama Clear Metin Protokollerinden (HTTP, FTP) yararlanır ve harici depolamaya geniş ölçüde erişir. Ayrıca MediaPlayer ile etkileşime giren ve uzaktan komutlar almak ve hareket etmek için soketleri kullanan kod içerir. Bu kontrol seviyesi, etkinliği izlemek, dosyaları çalmak veya daha fazla saldırı başlatmak için kullanılabilir.
Bilgileriniz için, Janus Güvenlik Açığı (CVE-2017-13156), Android cihazlarda, saldırganların kriptografik imzalarını değiştirmeden meşru APK veya DEX dosyalarını değiştirmesine izin veren ciddi bir güvenlik kusurudur, kötü niyetli uygulamaların güvenilir ve değişmemiş görünmesini sağlar.
Firebase Sömürü riskleri devam ediyor
Anahtar bulgulardan biri, şimdi devre dışı bırakılmış bir Firebase veritabanı ile ilgilidir. tmessages2(.)firebaseio(.)comdaha önce saldırganlar tarafından kullanılmış. Orijinal veritabanı çevrimdışı olsa da, araştırmacılar aynı isim altında yeni bir Firebase projesi kaydeden herhangi bir saldırgan tarafından kolayca yeniden etkinleştirilebileceği konusunda uyarıyorlar.
Bu uç noktaya sabitlenmiş kötü amaçlı yazılım sürümleri daha sonra yeni saldırgan kontrollü veritabanına otomatik olarak bağlanır. Bu taktik, orijinal operatörler devam etse bile kampanyanın uygulanabilirliğini genişletir.
Gömülü izleme komut dosyaları
Kötü niyetli altyapı ayrıca JavaScript izleme gibi ajs.js barındırılan telegramt(.)net. Komut dosyası cihaz ve tarayıcı ayrıntıları toplar, verileri uzak bir sunucuya gönderir ve Android kullanıcılarını hedefleyen kayan bir indirme banner görüntülemek için yorumlanan kod içerir. Bu kurulum, cihazları otomatik olarak algılayarak ve kullanıcı deneyimini uyarlayarak kurulum oranlarını artırmak için tasarlanmıştır.
Alan Adı Buzağı
607 alandan, üst düzey alan kullanımı aşağıdaki gibidir:
.com: 316.top: 87.xyz: 59.online: 31.site: 24
Çok sayıda .com Kayıtlar, düşük maliyetli alanların kullanımı geniş dağılımı desteklerken, güvenilirlik eklemek için kasıtlı bir çaba önermektedir.
Kuruluşlar için önleyici adımlar
Maruz kalma riskini azaltmak için Bforei, kuruluşların birkaç temel önlem almasını önermektedir. İlk olarak, şüpheli veya benzeri site kayıtlarını aktif hale gelmeden önce yakalamak için otomatik etki alanı izlemesini ayarlayın. Güvenli olup olmadıklarını doğrulamak için birden fazla tehdit istihbarat kaynağı kullanarak APK dosyalarını, URL’leri ve ilgili karma değerleri taramak da önemlidir.
Mümkün olduğunda, özellikle bu dosya türleri iş kullanımı için gerekli değilse, APK veya SVG eklerinin teslimatını engelleyin. Son olarak, sayfa meşru görünse veya tanınmış bir markayı taklit etse bile, kullanıcıların gayri resmi sitelerden uygulamaları indirmekten kaçınmak için eğitildiğinden emin olun.
Kimlik avı teknikleri sofistike hale geldi ve bu kampanya, Janus gibi kaçınca istismarların şüphesiz kullanıcılara karşı hala kullanılabileceğini gösteriyor. QR kodlarının kullanımı, yazım hatası ve yeniden tasarlanan bulut hizmetleri, basit filtrelemeyi artık yeterli hale getirmeyen bir sofistike düzeyde ekler.