Yetişkinlere yönelik görüntülü sohbet üzerinden siber saldırı

Teknoloji Oca 12, 2023 Yorum Yok

Andorid kullanıcılarını hedefleyen casusluk saldırısına dikkat 

Dijital Emniyet şirketi ESET,  gelişmiş kalıcı tehdit(APT) kümesi StrongPity’e ilişkin bir casusluk saldırısını tespit etti. APT kümesi, Android kullanıcılarını Shagle isimli manzaralı sohbet hizmetini taklit eden Düzmece bir web sitesi ve Telegram uygulamasının truva atı haline getirilmiş sürümüyle maksat alıyor.

Kurban, Kötü maksatlı StrongPity uygulamasına bildirim erişimi ve erişilebilirlik hizmetleri onayı verirse, yazılım Viber, Skype, Gmail, Messenger ve Tinder üzere iletileşme uygulamalarından bağlantısı sızdırabiliyor.

ESET araştırmacıları, yasal Telegram uygulamasının büsbütün fonksiyonel fakat truva atı gizlenmiş bir sürümünü dağıtan faal bir StrongPity saldırısı tespit etti. Yetişkinlere yönelik bir manzaralı sohbet uygulaması olan Shagle’ı taklit eden Düzmece web sitesi, StrongPity’nin taşınabilir arka kapı uygulamasını dağıtmak için kullanılıyor. Laf konusu uygulamanın, StrongPity arka kapı kodu ile tekrar paketlenen Aleni kaynak Telegram uygulamasının değiştirilmiş bir sürümü olduğu belirtiliyor. StrongPity’nin modüler olan arka kapısının telefon görüşmelerini kaydetme, SMS bildirileri toplama, arama günlükleri ve şahıs listeleri toplama ve daha bir Fazla casusluk özelliğine sahip olduğu belirtiliyor. Kurban, Kötü hedefli StrongPity uygulamasına bildirim ve erişilebilirlik onayı verirse, Kötü maksatlı yazılım Viber, Skype, Gmail, Messenger ve Tinder üzere iletileşme uygulamalarındaki yazışmalara sızabiliyor.  

Diğer iletileşme uygulamalarına sızma riski taşıyor 

Hizmetlerine erişim sağlanması için resmi bir taşınabilir uygulaması olmayan büsbütün internet tabanlı gerçek Shagle internet sitesinin tersine, Düzmece internet sitesi, internet tabanlı bir yayınlama hizmeti olmadan yalnızca indirilebilen bir Android uygulaması sunuyor. Truva atı içeren Laf konusu Telegram uygulamasına Google Play Store üzerinden erişim sağlanamıyor. Kötü gayeli kod, bu kodların fonksiyonelliği, Sınıf isimleri ve APK evrakı için kullanılan sertifika, bir evvelki akınla birebir benzerlik taşıdığı için ESET bu akının gerisinde StrongPity kümesinin olduğunu düşünüyor. Kod tahlili, arka kapının modüler yapıya sahip olduğunu ve ekstra ikili modüllerin Komuta ve Denetim sunucusundan indirildiğini gösteriyor. Bu, kullanılan modüllerin sayısının ve tipinin, StrongPity kümesi tarafından çalıştırıldığında atak gayesine uyacak formda rastgele bir vakitte değiştirilebileceği manasına gelir.

Şu Lahza faal değil fakat her Lahza etkin hale gelebilir

Truva atı içeren Telegram uygulamasını tahlil eden ESET araştırmacısı Lukáš Štefanko, atak ile ilgili şunları Anlatım etti: “Araştırmamız sırasında Düzmece internet sitesinde bulunan Üzücü gayeli yazılım incelendiğinde, artık faal olmadığı ve bu yazılımın arka kapısını yüklemenin ve çalıştırmanın artık Muhtemel olmadığı ortaya çıktı. Bunun nedeni ise StrongPity’nin truva atı içeren Telegram uygulaması için API kimliği temin etmemesi. Fakat saldırgan Laf konusu Üzücü hedefli uygulamayı yenileştirmeye karar verirse bu durum her Lahza değişebilir.”

Tekrar paketlenen Telegram sürümü de yasal Telegram uygulamasına ilişkin tıpkı paket ismini kullanıyor. Paket isimleri, her bir Android uygulamasına has kimlikler ve her bir aygıtta eşsiz olmalıdır. Bu da, olası bir kurbanın aygıtında resmi Telegram uygulaması yüklü ise bu uygulamanın arka kapısını içeren sürümünün birebir aygıta yüklenemeyeceği manasına gelir. Štefanko kelamlarına şöyle devam etti: “Bunun iki nedeni olabilir; ya saldırgan potansiyel kurbanlarla Evvel bağlantı kurarak onları aygıtlarında Telegram yüklüyse kaldırmaya zorlar ya da atak, Telegram kullanımının Az olduğu ülkelere odaklanır.”

StrongPity uygulaması, tıpkı resmi sürümünün yaptığı üzere Telegram internet sitesinde yer Meydan standart API’lerı kullanarak çalışmış olsa da artık bu biçimde çalışmıyor. Taşınabilir aygıtlara yönelik keşfedilen birinci StrongPity Kötü hedefli yazılımıyla karşılaştırıldığında bu sürüm arka kapı casusluk özelliklerini geliştirmiş. Kurbanın uygulamanın bildirimlere erişim sağlamasına onay vermesi ve erişilebilirlik hizmetlerini aktifleştirmesi halinde Laf konusu arka kapı, gelen bildirimleri gözetleyip sohbetleri dışarı aktarıyor.

 

Kaynak: (BYZHA) – ak Haber Ajansı

Yorum Yok

Yorum Yap

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir