Sahte Telegram Uygulamaları Yeni Android Kötü Amaçlı Yazılım Saldırısında 607 Alan Adına Yayıldı

BforeAI'nin PreCrime Labs'ından yeni bir araştırmaya göre, yeni bir tehdit kampanyası Android kullanıcılarını yüzlerce kötü amaçlı alan adından sahte Telegram uygulamaları indirmeye kandırıyor. Son haftalarda aktif hale gelen operasyon, benzer web siteleri, QR kod yönlendirmeleri ve tehlikeli izinler ve uzaktan çalıştırma özellikleriyle dolu değiştirilmiş bir APK kullanıyor.

Tehdit istihbarat ekibi, kampanyayla bağlantılı 607 alan adı tespit etti. Bunların hepsi resmi Telegram indirme sayfaları gibi görünüyor, çoğu Gname kayıt kuruluşu aracılığıyla kayıtlı ve Çin'de barındırılıyor. Bazı siteler, markayı taklit etmek için teleqram, telegramapp, ve telegramdl gibi alan adları kullanarak, ufak yazım değişikliklerini fark etmeyen kullanıcıları hedefliyor.

BforeAI'nin Salı günü yayınlanmadan önce Hackread.com ile paylaştığı blog yazısına göre, kurbanlar bağlantı veya QR kodları aracılığıyla Telegram Messenger uygulamasına benzeyen bir uygulamayı indirmeye yönlendiriliyor.

Araştırmacılar ayrıca APK'nın 60 MB ve 70 MB boyutunda iki versiyonunu da inceledi. Uygulama yüklendikten sonra, yüzeysel olarak gerçek uygulama gibi davranıyor ancak sessizce geniş kapsamlı izinler veriyor ve uzaktan komut yürütmeyi mümkün kılıyor.

Dikkat çekici olan nokta, bu kampanyada kullanılan kimlik avı sitelerinin kişisel bloglara veya resmi olmayan hayran sayfalarına benzemesi. Tipik bir örnek, kullanıcıları Telegram'ın favicon'u, indirme düğmeleri ve renkleriyle tasarlanmış bir site zifeiji(.)asia yönlendiriyor. Sayfa başlıkları, kullanıcıların dikkatini uygulamanın asıl amacından uzaklaştırırken arama sonuçlarında görünürlüğü artırma girişimi gibi görünen "Paper Plane Resmi Web Sitesi İndirme" gibi Çince SEO ifadeleriyle dolu.

Kötü amaçlı APK, eski bir v1 imza şemasıyla imzalanmış olduğundan, Android 5.0'dan 8.0'a kadar olan sürümleri etkileyen Janus güvenlik açığına karşı savunmasızdır. Janus, tehdit aktörlerinin imzasını değiştirmeden meşru bir APK'ye zararlı kod eklemesine olanak tanır. Bu durumda, kötü amaçlı yazılım geçerli bir imzayı koruyarak standart tespit yöntemlerini atlatmasına yardımcı olur.

Uygulama, bir cihaza yüklendiğinde, açık metin protokollerini (HTTP, FTP) kullanır ve harici depolamaya geniş çapta erişir. Ayrıca, MediaPlayer ile etkileşim kuran ve soketler kullanarak uzaktan komutları alıp bunlara göre hareket eden kodlar içerir. Bu düzeydeki kontrol, etkinliği izlemek, dosya çalmak veya başka saldırılar başlatmak için kullanılabilir.

Bilginize, Janus güvenlik açığı ( CVE-2017-13156 ), saldırganların kriptografik imzalarını değiştirmeden meşru APK veya DEX dosyalarını değiştirmelerine olanak tanıyan ve kötü amaçlı uygulamaların güvenilir ve değiştirilmemiş gibi görünmesini sağlayan Android cihazlardaki ciddi bir güvenlik açığıdır.

Önemli bulgulardan biri, saldırganlar tarafından daha önce kullanılan tmessages2(.)firebaseio(.)com adresindeki artık devre dışı bırakılmış bir Firebase veritabanıyla ilgili. Orijinal veritabanı çevrimdışı olsa da araştırmacılar, aynı adla yeni bir Firebase projesi kaydeden herhangi bir saldırganın veritabanını kolayca yeniden etkinleştirebileceği konusunda uyarıyor.

Bu uç noktaya sabitlenmiş kötü amaçlı yazılımın eski sürümleri, saldırgan tarafından kontrol edilen yeni veritabanına otomatik olarak bağlanacaktır. Bu taktik, orijinal operatörler başka bir yere taşınsa bile kampanyanın uygulanabilirliğini uzatır.

Kötü amaçlı altyapı, telegramt(.)net üzerinde barındırılan ajs.js gibi izleme JavaScript'lerini de kullanır. Komut dosyası, cihaz ve tarayıcı bilgilerini toplar, verileri uzak bir sunucuya gönderir ve Android kullanıcılarını hedef alan yüzen bir indirme başlığı görüntülemek için yorum satırına alınmış kod içerir. Bu kurulum, cihazları otomatik olarak algılayarak ve kullanıcı deneyimini kişiselleştirerek kurulum oranlarını artırmak için tasarlanmıştır.

Alan Adı Ayrıntısı

607 alan adından en üst düzey alan adı kullanımı şu şekilde gerçekleşti:

• .com : 316
• .top : 87
• .xyz : 59
• .online : 31
• .site : 24

.com uzantılı alan adlarının yüksek sayıda olması, güvenilirliği artırma yönünde bilinçli bir çabanın göstergesi iken, düşük maliyetli alan adlarının kullanımı geniş bir dağıtıma destek sağlıyor.

BforeAI, maruz kalma riskini azaltmak için kuruluşların birkaç temel önlem almasını öneriyor. İlk olarak, şüpheli veya benzer site kayıtlarını etkinleşmeden önce yakalamak için otomatik alan adı izleme sistemi kurun. Ayrıca, güvenli olup olmadıklarını doğrulamak için APK dosyalarını, URL'leri ve ilgili karma değerlerini birden fazla tehdit istihbarat kaynağı kullanarak taramak da önemlidir.

Mümkünse, özellikle ticari kullanım için gerekli olmayan APK veya SVG eklerinin dağıtımını engelleyin. Son olarak, kullanıcıların, sayfa meşru görünse veya tanınmış bir markayı taklit etse bile, resmi olmayan sitelerden uygulama indirmekten kaçınmaları konusunda eğitildiklerinden emin olun.

Kimlik avı teknikleri karmaşıklaştı ve bu kampanya, Janus gibi eski istismarların şüphelenmeyen kullanıcılara karşı nasıl hala kullanılabileceğini gösteriyor. QR kodları, yazım hataları ve yeniden tasarlanmış bulut hizmetlerinin kullanımı, basit filtrelemenin artık yeterli olmadığı bir karmaşıklık düzeyi katıyor.