Dijital güvenlik şirketi ESET, gelişmiş kalıcı tehdit(APT) grubu StrongPity’e ait bir casusluk saldırısını tespit etti. APT grubu, Android kullanıcılarını Shagle adlı görüntülü sohbet hizmetini taklit eden sahte bir web sitesi ve Telegram uygulamasının truva atı haline getirilmiş sürümüyle hedef alıyor.
Kurban, kötü amaçlı StrongPity uygulamasına bildirim erişimi ve erişilebilirlik hizmetleri onayı verirse, yazılım Viber, Skype, Gmail, Messenger ve Tinder gibi mesajlaşma uygulamalarından iletişimi sızdırabiliyor.
ESET araştırmacıları, yasal Telegram uygulamasının tamamen işlevsel ancak truva atı gizlenmiş bir sürümünü dağıtan aktif bir StrongPity saldırısı tespit etti. Yetişkinlere yönelik bir görüntülü sohbet uygulaması olan Shagle’ı taklit eden sahte web sitesi, StrongPity’nin mobil arka kapı uygulamasını dağıtmak için kullanılıyor. Söz konusu uygulamanın, StrongPity arka kapı kodu ile tekrar paketlenen açık kaynak Telegram uygulamasının değiştirilmiş bir sürümü olduğu belirtiliyor. StrongPity’nin modüler olan arka kapısının telefon görüşmelerini kaydetme, SMS mesajları toplama, arama günlükleri ve kişi listeleri toplama ve daha bir çok casusluk özelliğine sahip olduğu belirtiliyor. Kurban, kötü amaçlı StrongPity uygulamasına bildirim ve erişilebilirlik onayı verirse, kötü amaçlı yazılım Viber, Skype, Gmail, Messenger ve Tinder gibi mesajlaşma uygulamalarındaki yazışmalara sızabiliyor.
Diğer mesajlaşma uygulamalarına sızma riski taşıyor
Hizmetlerine erişim sağlanması için resmi bir mobil uygulaması olmayan tamamen internet tabanlı gerçek Shagle internet sitesinin aksine, sahte internet sitesi, internet tabanlı bir yayınlama hizmeti olmadan sadece indirilebilen bir Android uygulaması sunuyor. Truva atı içeren söz konusu Telegram uygulamasına Google Play Store üzerinden erişim sağlanamıyor. Kötü amaçlı kod, bu kodların işlevselliği, sınıf adları ve APK dosyası için kullanılan sertifika, bir önceki saldırıyla birebir benzerlik taşıdığı için ESET bu saldırının arkasında StrongPity grubunun olduğunu düşünüyor. Kod analizi, arka kapının modüler yapıya sahip olduğunu ve ekstra ikili modüllerin Komuta ve Kontrol sunucusundan indirildiğini gösteriyor. Bu, kullanılan modüllerin sayısının ve türünün, StrongPity grubu tarafından çalıştırıldığında saldırı amacına uyacak şekilde herhangi bir zamanda değiştirilebileceği anlamına gelir.
Şu an aktif değil ama her an aktif hale gelebilir
Truva atı içeren Telegram uygulamasını analiz eden ESET araştırmacısı Lukáš Štefanko, saldırı ile ilgili şunları ifade etti:
“Araştırmamız sırasında sahte internet sitesinde bulunan kötü amaçlı yazılım incelendiğinde, artık aktif olmadığı ve bu yazılımın arka kapısını yüklemenin ve çalıştırmanın artık mümkün olmadığı ortaya çıktı. Bunun nedeni ise StrongPity’nin truva atı içeren Telegram uygulaması için API kimliği temin etmemesi. Ancak saldırgan söz konusu kötü amaçlı uygulamayı güncelleştirmeye karar verirse bu durum her an değişebilir.”
Tekrar paketlenen Telegram sürümü de yasal Telegram uygulamasına ait aynı paket adını kullanıyor. Paket adları, her bir Android uygulamasına özgü kimlikler ve her bir cihazda benzersiz olmalıdır. Bu da, muhtemel bir kurbanın cihazında resmi Telegram uygulaması yüklü ise bu uygulamanın arka kapısını içeren sürümünün aynı cihaza yüklenemeyeceği anlamına gelir. Štefanko sözlerine şöyle devam etti:
“Bunun iki nedeni olabilir; ya saldırgan potansiyel kurbanlarla önce iletişim kurarak onları cihazlarında Telegram yüklüyse kaldırmaya zorlar ya da saldırı, Telegram kullanımının nadir olduğu ülkelere odaklanır.”
StrongPity uygulaması, tıpkı resmi sürümünün yaptığı gibi Telegram internet sitesinde yer alan standart API’lerı kullanarak çalışmış olsa da artık bu şekilde çalışmıyor. Mobil cihazlara yönelik keşfedilen ilk StrongPity kötü amaçlı yazılımıyla karşılaştırıldığında bu sürüm arka kapı casusluk özelliklerini geliştirmiş. Kurbanın uygulamanın bildirimlere erişim sağlamasına onay vermesi ve erişilebilirlik hizmetlerini etkinleştirmesi halinde söz konusu arka kapı, gelen bildirimleri gözetleyip sohbetleri dışarı aktarıyor.
