Kaspersky araştırmacıları, saldırganların, rakip Telegram hizmeti için daha önce keşfedilen modların aynılarını kullanarak, Android cihazlardaki WhatsApp kullanıcılarından gizlice özel veriler toplayan casus yazılımlar dağıttıklarını keşfetti.
İçinde 2 Kasım’da yayınlanan bültenKaspersky, casus yazılımı WhatsApp modu aracılığıyla dağıtmak için 340.000 girişimde bulundu.
Kaspersky güvenlik uzmanı Dmitry Kalinin, saldırı girişimlerinin gerçek sayısının daha fazla olduğuna inanıyor. Kalinin bültende, “Dağıtım kanalının yapısını dikkate alırsak gerçek kurulum sayısı çok daha yüksek olabilir.” dedi.
Saldırı dünya çapında kullanıcılara ulaşırken, kurbanların yüzde 46’sı Azerbaycan’daydı. Kurbanların büyük bir yüzdesine sahip olan diğer ülkeler arasında Yemen, Suudi Arabistan, Mısır ve Türkiye yer alıyor; özellikle vatandaşları Arapça konuşan ülkeler.
Mesajlaşma uygulamasına gelişmiş yetenekler kazandırmak için tasarlanan yasal üçüncü taraf uygulamalar olan WhatsApp modları, kötü amaçlı yazılımların sığınağı haline geldi. Son yıllarda saldırganlar, daha fazla kötü amaçlı yazılım indiren, reklam başlatan ve kurbanların mesajlarına müdahale eden mobil bir Truva atı olan Triada’yı başlattı. Kaspersky geçen yıl Triada’nın yaygın olarak kullanılan YoWhatsApp’ın sahte versiyonu gibi meşru uygulamalarda çoğaldığı konusunda uyarmıştı.
Telegram Kullanıcılarını Hedefleme
Yaz aylarında Kaspersky, Çin’deki kullanıcıları hedef alarak resmi olmayan Telegram modlarına casus yazılım enjekte eden saldırganların sayısında artış olduğu konusunda uyardı. Kaspersky araştırmacısı Igor Golovin Eylül ayında yazdı Bu casus yazılımın kurbanın yazışmalarını, kişisel verilerini ve iletişim bilgilerini çalabileceğini söyledi. Golovin, “Yine de kodları, sorunsuz Google Play güvenlik kontrolleri için orijinal Telegram kodundan yalnızca çok az farklı” dedi. Google daha sonra rahatsız edici modları Google Play uygulama mağazasından kaldırdı.
Kalinin şimdi “WhatsApp’ta da durum aynı: önceden zararsız olan birkaç modun, Trojan-Spy.AndroidOS.CanesSpy olarak tespit ettiğimiz bir casus modül içerdiği tespit edildi” diye uyarıyor. Casus modülün nasıl çalıştığını açıklayan Kalinin, Truva atı bulaşmış istemci bildiriminin, orijinal WhatsApp istemcisinde bulunmayan bir hizmet ve yayın alıcısı gibi şüpheli bileşenler içerdiğini belirtiyor.
WhatsApp modlarında casus yazılımın keşfedilmesinin ardından Kaspersky araştırmacılarının analizi, Telegram’ın çeşitli kanallarda birincil kaynak olduğunu gösterdi. Kalinin, “Bunlardan en popülerinin neredeyse iki milyon abonesi vardı” diyor. “Kanalların kötü amaçlı yazılım yaymak için kullanıldığı konusunda Telegram’ı uyardık.”
Bu haberin yayınlandığı sırada bir Kaspersky sözcüsü, şirketin Telegram’dan bir yanıt almadığını söyledi. Telegram ayrıca Dark Reading’in bir sorusuna yanıt vermedi, ancak basın botundan gelen otomatik yanıtta şirket şunu belirtti: “Telegram, kullanıcı gizliliğini ve konuşma ve toplanma özgürlüğü gibi insan haklarını korumaya kararlıdır. dünya çapında demokrasi yanlısı hareketlerde rol.”
Benzer şekilde, WhatsApp’ın ebeveyni Meta, Dark Reading’in sorusuna yanıt vermedi.