Kötü amaçlı yazılım çalan bir Android bilgisi adlı Yangın Dolandırıcılığı Verileri çalmak ve güvenliği ihlal edilmiş cihazlar üzerinde kalıcı uzaktan kontrol sağlamak için Telegram mesajlaşma uygulamasının premium bir sürümü gibi davrandığı tespit edildi.
Cyfirma, “Sahte bir ‘Telegram Premium’ uygulaması olarak gizlenen bu uygulama, Rusya Federasyonu’ndaki popüler bir uygulama mağazası olan RuStore’un kimliğine bürünen, GitHub.io tarafından barındırılan bir kimlik avı sitesi aracılığıyla dağıtılıyor.” söz konusubunu “karmaşık ve çok yönlü bir tehdit” olarak tanımlıyor.
“Kötü amaçlı yazılım, bir damlalık APK’sından başlayarak çok aşamalı bir bulaşma süreci kullanıyor ve yüklendikten sonra kapsamlı gözetim faaliyetleri gerçekleştiriyor.”
Söz konusu kimlik avı sitesi, Rustore-apk.github[.]io, Rus teknoloji devi VK tarafından ülkede başlatılan bir uygulama mağazası olan RuStore’u taklit eder ve bir damlalık APK dosyası (“GetAppsRu.apk”) sunmak üzere tasarlanmıştır.
Damlalık kurulduktan sonra, bildirimler, mesajlar ve diğer uygulama verileri de dahil olmak üzere hassas verilerin Firebase Gerçek Zamanlı Veritabanı uç noktasına sızdırılmasından sorumlu olan ana yük için bir dağıtım aracı görevi görür.
Damlalık uygulaması, harici depolama birimine yazma ve Android 8 ve sonraki sürümleri çalıştıran virüslü Android cihazlarda rastgele uygulamaları yükleme, güncelleme veya silme yeteneği de dahil olmak üzere çeşitli izinler ister.
Cyfirma, “ENFORCE_UPDATE_OWNERSHIP izni, uygulama güncellemelerini uygulamanın belirlenmiş sahibiyle sınırlandırıyor. Bir uygulamanın ilk yükleyicisi, kendisini ‘güncelleme sahibi’ olarak ilan edebilir ve böylece uygulamadaki güncellemeleri kontrol edebilir” dedi.
“Bu mekanizma, diğer yükleyicilerin güncelleme girişimlerinin devam etmeden önce kullanıcı onayı gerektirmesini sağlar. Kötü amaçlı bir uygulama, kendisini güncelleme sahibi olarak belirleyerek diğer kaynaklardan gelen meşru güncellemeleri önleyebilir ve böylece cihazdaki kalıcılığını koruyabilir.”
FireScam, tespit edilmekten kaçınmak için çeşitli gizleme ve anti-analiz teknikleri kullanır. Ayrıca ilgi çekici bilgileri toplamak için gelen bildirimleri, ekran durumu değişikliklerini, e-ticaret işlemlerini, pano içeriğini ve kullanıcı etkinliğini takip eder. Dikkate değer bir başka işlev de, belirli bir URL’den görüntü verilerini indirme ve işleme yeteneğidir.
Hileli Telegram Premium uygulaması başlatıldığında ayrıca kullanıcıların kişi listelerine, arama kayıtlarına ve SMS mesajlarına erişim iznini istiyor ve ardından kimlik bilgilerini çalmak için meşru Telegram web sitesi için bir oturum açma sayfası bir Web Görünümü aracılığıyla görüntüleniyor. Mağdurun giriş yapıp yapmamasına bakılmaksızın veri toplama süreci başlatılır.
Son olarak, Firebase Cloud Messaging (FCM) bildirimlerini almak için bir hizmet kaydederek, uzaktan komutlar almasına ve gizli erişimi sürdürmesine olanak tanır; bu, kötü amaçlı yazılımın geniş izleme yeteneklerinin bir işaretidir. Kötü amaçlı yazılım aynı zamanda veri sızdırma ve takip faaliyetleri için komuta ve kontrol (C2) sunucusuyla eş zamanlı olarak bir WebSocket bağlantısı kuruyor.
Cyfirma, kimlik avı alanının ayrıca CDEK adlı başka bir kötü amaçlı yapıyı da barındırdığını ve bunun muhtemelen Rusya merkezli bir paket ve teslimat takip hizmetine referans olduğunu söyledi. Ancak siber güvenlik şirketi, analiz sırasında eseri elde edemediğini söyledi.
Operatörlerin kim olduğu, kullanıcıların bu bağlantılara nasıl yönlendirildiği ve bunun SMS kimlik avı veya kötü amaçlı reklam teknikleri içerip içermediği henüz belli değil.
Cyfirma, “Bu kötü niyetli web siteleri, RuStore uygulama mağazası gibi meşru platformları taklit ederek, bireyleri sahte uygulamalar indirmeye ve yüklemeye yönlendirmek için kullanıcı güvenini istismar ediyor” dedi.
“FireScam, veri sızdırma ve gözetim de dahil olmak üzere kötü niyetli faaliyetlerini yürütüyor ve bu da kimlik avı tabanlı dağıtım yöntemlerinin cihazlara virüs bulaştırma ve tespitten kaçma konusundaki etkinliğini daha da ortaya koyuyor.”
