Binlerce Android kullanıcısı casus yazılımların kurbanı
Çin bağlantılı GREF kümesinin casus uygulamaları Signal ve Telegram gibi görünüyor; Avrupa ve ABD’deki kullanıcılara saldırmak
Siber güvenlik şirketi ESET, daha önce Uygur kökenli Android kullanıcılarını hedef alan, GREF olarak bilinen Çin bağlantılı APT kümesinin aktif kampanyalarını ortaya çıkardı. Saldırganlar, kullanıcıları sahte Signal ve Telegram uygulamalarıyla kandırıyor ve onları kötü amaçlı uygulamaları indirmeye teşvik ediyor. Binlerce kullanıcının bu tuzağa düştüğü ve cihazlarına casus uygulamalar indirdiği belirtiliyor.
ESET araştırmacıları, Android kullanıcılarını hedef alan ve artık kullanılmayan Telegram ve Signal araçlarının arkasındaki tehdit aktörlerinin Çin iletişim APT kümesi GREF ile ilişkili olduğu iki aktif kampanya belirledi. Kötü niyetli olarak hedeflenen her uygulama için sırasıyla Temmuz 2020 ve Temmuz 2022’den bu yana yürütülen kampanyalar, Android BadBazaar casusluk kodunu Google Play mağazası, Samsung Galaxy Store ve meşru şifreli sohbet uygulamaları gibi görünen özel web siteleri aracılığıyla dağıttı. Bu kötü amaçlı uygulamaların FlyGram ve Signal Plus Messenger olduğu ortaya çıktı. Tehdit aktörleri, Android için açık kaynaklı Signal ve Telegram uygulamalarına kötü amaçlı kod yamalayarak, artık kullanılmayan Signal ve Telegram uygulamalarından işlevsellik elde etti. Signal Plus Messenger, bir kurbanın Signal bağlantısının gözetlendiği ve binlerce kullanıcının farkında olmadan casus uygulamalar indirdiği belgelenen ilk olaydır. ESET telemetrisi çeşitli AB ülkeleri, Amerika Birleşik Devletleri, Ukrayna ve dünyanın başka yerlerindeki Android cihazlarda tespitler bildirdi. Her iki uygulama da daha sonra Google Play’den kaldırıldı.
Keşfi yapan ESET araştırmacısı Lukáš Štefanko şöyle açıkladı: “BadBazaar ailesinden gelen kötü amaçlı kod, kurbanlara çalışan bir uygulama deneyimi sağlıyor gibi görünüyor. Bu kötü amaçlı kod aslında arka planda casusluk yapan truva atı haline getirilmiş Signal ve Telegram uygulamalarında gizleniyor. Temel amaç BadBazaar’ın cihaz bilgilerini, kişi listesini, arama kayıtlarını ve yüklü uygulamaların listesini sızdırması ve kurbanın Signal Plus Messenger uygulamasını saldırganın cihazına gizlice bağlayarak Signal bildirimlerini gözetlemesi.”
ESET telemetrisi Avustralya, Brezilya, Danimarka, Demokratik Kongo Cumhuriyeti, Almanya, Hong Kong, Macaristan, Litvanya, Hollanda, Polonya, Portekiz, Singapur, İspanya, Ukrayna, Amerika Birleşik Devletleri ve Yemen’den tespitleri rapor ediyor. Google Play mağazasındaki FlyGram bağlantısı da bir Uygur Telegram kümesinde paylaşıldı. BadBazaar zararlı yazılım ailesinin uygulamaları daha önce de Çin dışındaki Uygurlara ve diğer Türk etnik azınlıklara karşı kullanılmıştı.
Google App Defense Alliance ortağı ESET, Signal Plus Messenger’ın en son sürümünün kötü amaçlı olduğunu belirledi ve bulgularını derhal Google ile paylaştı. ESET’in uyarılarının ardından uygulama Store’dan kaldırıldı.
Kaynak: (BYZHA) Beyaz Haber Ajansı
