Telegram’ın değiştirilmiş sürümleri gibi görünen casus yazılımlar, güvenliği ihlal edilmiş Android cihazlardan hassas bilgileri toplamak için tasarlanmış Google Play Store’da tespit edildi.
Kaspersky güvenlik araştırmacısı Igor Golovin’e göre uygulamalar aşağıdakilerle birlikte geliyor: hain özellikler adları, kullanıcı kimliklerini, kişileri, telefon numaralarını ve sohbet mesajlarını yakalayıp aktör kontrollü bir sunucuya sızdırmak için.
Etkinliğin kod adı verildi Kötü Telgraf Rus siber güvenlik şirketi tarafından.
Uygulamalar, Google tarafından kaldırılmadan önce toplu olarak milyonlarca kez indirildi. Bunların detayları aşağıdaki gibidir:
- 電報,紙飛機-TG繁體中文版 veya 電報,小飛機-TG繁體中文版 (org.telegram.messenger.wab) – 10 milyondan fazla indirme
- TG繁體中文版-電報,紙飛機 (org.telegram.messenger.wab) – 50.000’den fazla indirme
- 电报,纸飞机-TG简体中文版 (org.telegram.messenger.wob) – 50.000’den fazla indirme
- 电报,纸飞机-TG简体中文版 (org.tgcn.messenger.wob) – 10.000’den fazla indirme
- ئۇيغۇر تىلى TG – تېلېگرامما (org.telegram.messenger.wcb) – 100’den fazla indirme
Listedeki son uygulama “Telegram – TG Uyghur” anlamına geliyor ve Uygur topluluğunu hedef almaya yönelik açık bir girişime işaret ediyor.
Telegram’ın Play Store sürümüyle ilişkili paket adının “org.telegram.messenger” olduğunu, buradan doğrudan indirilen APK dosyasının paket adının ise “org.telegram.messenger” olduğunu belirtmekte fayda var. Telegram’ın web sitesi “org.telegram.messenger.web”dir.
Bu nedenle, kötü amaçlı paket adları için “wab”, “wcb” ve “wob”un kullanılması, tehdit aktörünün meşru Telegram uygulaması gibi görünüp gözden kaybolmak için yazım hatası tekniklerine güvendiğini vurguluyor.
Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması
MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin
Şirket, “İlk bakışta bu uygulamalar yerelleştirilmiş bir arayüze sahip tam teşekküllü Telegram klonları gibi görünüyor” dedi. söz konusu. “Her şey neredeyse gerçeğiyle aynı görünüyor ve çalışıyor. [But] Google Play moderatörlerinin dikkatinden kaçan küçük bir fark var: virüslü sürümler ek bir modül barındırıyor:”
Açıklama, ESET’in, sohbet yedeklerini toplamak için Telegram’ın hileli bir sürümünden yararlanan resmi uygulama pazarını hedef alan bir BadBazaar kötü amaçlı yazılım kampanyasını ortaya çıkarmasından birkaç gün sonra geldi.
Benzer taklit Telegram ve WhatsApp uygulamaları, daha önce Mart 2023’te Slovak siber güvenlik şirketi tarafından ortaya çıkarılmıştı. Bu uygulamalar, sohbet mesajlarındaki cüzdan adreslerini ele geçirmek ve değiştirmek ve kripto para transferlerini saldırganın sahip olduğu cüzdanlara yönlendirmek için kesme işleviyle donatılmıştı.