Çin iletişimli GREF grubunun ajan uygulamaları Signal ve Telegram gibi görünüyor; Avrupa ve Amerika Birleşik Devletleri ’deki kullanıcılara saldırıyor
Siber güvenlik işletmeyi ESET, daha evvel Uygur orijinli Android kullanıcılarını da hedef alan ve GREF ismiyle öğrenilen Çin iletişimli APT grubunun etkin kampanyalarını ortaya çıkardı. Saldırganlar kullanıcıları sahte Signal ve Telegram uygulamalarıyla aldatıp makûs emelli uygulamaları indirmeye teşvik ediyor. Binlerce kullanıcının bu tuzağa düşerek ajan uygulamaları aygıtlarına indirdiği belirtiliyor.
ESET tahlilcileri, sahte Telegram ve Signal taşıtlarının arttaki tehdit oyuncularının Çin iletişimli APT grubu GREF ile ilişkilendirildiği, Android kullanıcılarını hedef alan iki etkin kampanya tespit etti. Her bir makûs emelli uygulama için sırasıyla Temmuz 2020 ve Temmuz 2022 ’den bu yana etkin olan kampanyalar, Android BadBazaar ajanlık kodunu Google Play mağazası, Samsung Galaxy Store ve hukuki parolalı sohbet uygulamaları gibi görünen özel web siteleri aracılığıyla dağıttı. Bu makûs emelli uygulamaların FlyGram ve Signal Plus Messenger olduğu ortaya kondu. Tehdit oyuncuları, Android için sarih kaynaklı Signal ve Telegram uygulamalarını makûs emelli kodla yamalayarak sahte Signal ve Telegram uygulamalarındaki işlevleri elde etti. Signal Plus Messenger, bir kurbanın Signal bağlantısının gözetlendiği belgelenmiş ilk hadise ve binlerce kullanıcının farkında olmadan ajan uygulamaları indirdiği ortaya çıktı. ESET telemetrisi, muhtelif AB ülkeleri, Amerika Birleşik Devletleri, Ukrayna ve dünya çapındaki değişik yerlerdeki Android aygıtlarda tespitler bildirdi. Her iki uygulama da daha sonra Google Play ’den kaldırıldı.
Bulguyu yapan ESET tahlilcisi Lukáš Štefanko şu açıklamayı yaptı:”BadBazaar ailesinden gelen makûs emelli kodun, kurbanlara çalışan bir uygulama tecrübeyi sağladığı görülüyor. Bu hasarlı kod, gerçeğinde arka tasarıda ajanlık yapan truva atı haline getirilmiş Signal ve Telegram uygulamalarını saklanıyor. BadBazaar ’ın ana emeli makine bilgilerini, şahıs listesini, arama kayıtlarını ve yüklü uygulamaların listesini dışarı sızdırmak ve kurbanın Signal Plus Messenger uygulamasını saklıca saldırganın makinesine bağlayarak Signal iletileri üzerinde ajanlık yapmak.”
ESET telemetrisi Avustralya, Brezilya, Danimarka, Demokratik Kongo Cumhuriyeti, Almanya, Hong Kong, Macaristan, Litvanya, Hollanda, Polonya, Portekiz, Singapur, İspanya, Ukrayna, Amerika Birleşik Devletleri ve Yemen ’den gelen tespitleri rapor ediyor. Ayrıca Google Play mağazasındaki FlyGram ’a ait bir irtibat da bir Uygur Telegram grubunda paylaşıldı. BadBazaar makûs emelli yazılım ailesinin uygulamaları daha evvel de Uygurlara ve Çin dışındaki değişik Türk kavmi azınlıklara karşı kullanılmıştı.
Bir Google App Defense Alliance ortağı olan ESET, Signal Plus Messenger ’ın en son versiyonunu makûs emelli olarak belirledi ve belirtilerini tezlikle Google ile paylaştı. ESET ’in yaptığı ihtarların ardından uygulama Mağaza ’dan kaldırıldı.
Kaynak: BYZHA Beyaz Haber Ajansı
