Bilgisayar korsanları, kötü amaçlı yazılımları telefonunuza göndermek ve konuşmalarınızı gizlice dinlemek için yeni ve sinsi bir taktik geliştirdi. Siber güvenlik firmasındaki araştırmacılar ESET Google ve Samsung uygulama mağazalarında, popüler mesajlaşma platformları Signal ve Telegram’ın kullanıcı verilerini çalmak üzere tasarlanmış uzantıları veya premium sürümleri gibi görünen sahte uygulamalar buldu.
Signal Plus Messenger ve FlyGram adı verilen kötü amaçlı uygulamalar, kullanıcılar belirli eylemler gerçekleştirdiğinde meşru Signal ve Telegram hesaplarından arama kayıtları, SMS mesajları, konumlar ve daha fazlası dahil olmak üzere hassas bilgileri alabilir.
Şu şekilde çalışır: Signal ve Telegram, kullanıcıların mobil uygulamayı masaüstü bilgisayarları veya en iyi tabletlerden biri gibi diğer cihazlarına bağlamasına olanak tanır. Bu kötü amaçlı uygulamalar, güvenliği ihlal edilmiş bir cihazı otomatik olarak saldırganın Signal’ine bağlamak için bu özellikten yararlanır ve kullanıcı farkında olmasa da onların iletişimlerini gözetlemelerine olanak tanır.
Google ve Samsung, her iki uygulamayı da ilgili uygulama mağazalarından kaldırdı ancak bu, binlerce indirme sayısına ulaşmadan önce olmadı. Signal Plus Messenger, Temmuz 2022’de Play Store’da yayına girdi ve Google’ın ESET’ten gelen bir ihbar üzerine Nisan ayında uygulamayı kaldırmasından önce yaklaşık 100 kez indirildi. Hacker Haberleri. FlyGram adlı uygulama, Haziran 2020’de Play Store’da yayınlandıktan sonra 5.000 indirme aldı ve bir sonraki yıl kaldırıldı.
Android telefonunuzu nasıl korursunuz?
Bu gizli “otomatik bağlantı” yeteneğinin keşfinin şu ana kadar büyük ölçüde fark edilmemiş olması özellikle endişe vericidir. Android telefonunuza Signal Plus Messenger ve FlyGram indirildiyse bunları hemen kaldırmalısınız. Telefonunuzun güvenli bir şekilde ilerlemesini sağlamak için, Signal ve Telegram’ın yalnızca meşru sürümlerini indirmeniz ve ayrıca tanınmayan cihazların açılmadığından emin olmak için Ayarlar > Bağlı Cihazlar’ı düzenli aralıklarla kontrol etmeniz önemlidir.
Bu kampanya, dünyadaki en popüler mesajlaşma uygulamalarından bazılarını gizlice gözetlemeye yönelik benzeri görülmemiş bir girişimin işaretidir. Her iki kötü amaçlı uygulama da Signal ve Telegram’da bulunan açık kaynak kodu üzerine geliştirildi. Bu kodun içinde bilgisayar korsanları, Uygurları ve diğer Türk etnik azınlıkları hedef alan önceki saldırılarda kullanılan bir Truva atı olan BadBazaar olarak takip edilen casusluk aracını gizlice ördüler. ESET basın kuruluşuna, kampanyanın arkasında GREF olarak bilinen Çin bağlantılı bilgisayar korsanlığı grubunun olduğundan şüphelendiğini söyledi.
Güvenlik araştırmacısı Lukáš Štefanko, “BadBazaar’ın ana amacı cihaz bilgilerini, kişi listesini, arama kayıtlarını ve yüklü uygulamaların listesini sızdırmak ve kurbanın Signal Plus Messenger uygulamasını gizlice saldırganın cihazına bağlayarak Signal mesajları üzerinde casusluk yapmaktır.” The Hacker News’e verdiği röportajda şunları söyledi.
Bir açıklamada Forbes Signal başkanı Meredith Whittaker bu hafta şirketin “bu uygulamaya güvenen ve indiren herkes için derin endişe duyduğunu” söyledi. Google’ı “Signal kılığına giren bu zararlı kötü amaçlı yazılımı platformlarından kaldırdığı için” övdü ve Samsung’u o zamandan beri yaptığı gibi aynı şeyi yapmaya çağırdı.