• BIST 9367.77
  • Altın 2952.122
  • Dolar 34.4839
  • Euro 36.1941
  • Bursa 8 °C
  • İstanbul 7 °C
  • Ankara 11 °C

Görüntülü sohbet üzerinden siber saldırı

Görüntülü sohbet üzerinden siber saldırı
Andorid kullanıcılarını hedefleyen casusluk saldırısına dikkat...

Dijital güvenlik şirketi ESET,  gelişmiş kalıcı tehdit(APT) grubu StrongPity’e ait bir casusluk saldırısını tespit etti. APT grubu, Android kullanıcılarını Shagle adlı görüntülü sohbet hizmetini taklit eden sahte bir web sitesi ve Telegram uygulamasının truva atı haline getirilmiş sürümüyle hedef alıyor.

Kurban, kötü amaçlı StrongPity uygulamasına bildirim erişimi ve erişilebilirlik hizmetleri onayı verirse, yazılım Viber, Skype, Gmail, Messenger ve Tinder gibi mesajlaşma uygulamalarından iletişimi sızdırabiliyor.

ESET araştırmacıları, yasal Telegram uygulamasının tamamen işlevsel ancak truva atı gizlenmiş bir sürümünü dağıtan aktif bir StrongPity saldırısı tespit etti. Yetişkinlere yönelik bir görüntülü sohbet uygulaması olan Shagle'ı taklit eden sahte web sitesi, StrongPity'nin mobil arka kapı uygulamasını dağıtmak için kullanılıyor. Söz konusu uygulamanın, StrongPity arka kapı kodu ile tekrar paketlenen açık kaynak Telegram uygulamasının değiştirilmiş bir sürümü olduğu belirtiliyor. StrongPity'nin modüler olan arka kapısının telefon görüşmelerini kaydetme, SMS mesajları toplama, arama günlükleri ve kişi listeleri toplama ve daha bir çok casusluk özelliğine sahip olduğu belirtiliyor. Kurban, kötü amaçlı StrongPity uygulamasına bildirim ve erişilebilirlik onayı verirse, kötü amaçlı yazılım Viber, Skype, Gmail, Messenger ve Tinder gibi mesajlaşma uygulamalarındaki yazışmalara sızabiliyor.  

Diğer mesajlaşma uygulamalarına sızma riski taşıyor 

Hizmetlerine erişim sağlanması için resmi bir mobil uygulaması olmayan tamamen internet tabanlı gerçek Shagle internet sitesinin aksine, sahte internet sitesi, internet tabanlı bir yayınlama hizmeti olmadan sadece indirilebilen bir Android uygulaması sunuyor. Truva atı içeren söz konusu Telegram uygulamasına Google Play Store üzerinden erişim sağlanamıyor. Kötü amaçlı kod, bu kodların işlevselliği, sınıf adları ve APK dosyası için kullanılan sertifika, bir önceki saldırıyla birebir benzerlik taşıdığı için ESET bu saldırının arkasında StrongPity grubunun olduğunu düşünüyor. Kod analizi, arka kapının modüler yapıya sahip olduğunu ve ekstra ikili modüllerin Komuta ve Kontrol sunucusundan indirildiğini gösteriyor. Bu, kullanılan modüllerin sayısının ve türünün, StrongPity grubu tarafından çalıştırıldığında saldırı amacına uyacak şekilde herhangi bir zamanda değiştirilebileceği anlamına gelir.

Şu an aktif değil ama her an aktif hale gelebilir

Truva atı içeren Telegram uygulamasını analiz eden ESET araştırmacısı Lukáš Štefanko, saldırı ile ilgili şunları ifade etti: “Araştırmamız sırasında sahte internet sitesinde bulunan kötü amaçlı yazılım incelendiğinde, artık aktif olmadığı ve bu yazılımın arka kapısını yüklemenin ve çalıştırmanın artık mümkün olmadığı ortaya çıktı. Bunun nedeni ise StrongPity’nin truva atı içeren Telegram uygulaması için API kimliği temin etmemesi. Ancak saldırgan söz konusu kötü amaçlı uygulamayı güncelleştirmeye karar verirse bu durum her an değişebilir.”

Tekrar paketlenen Telegram sürümü de yasal Telegram uygulamasına ait aynı paket adını kullanıyor. Paket adları, her bir Android uygulamasına özgü kimlikler ve her bir cihazda benzersiz olmalıdır. Bu da, muhtemel bir kurbanın cihazında resmi Telegram uygulaması yüklü ise bu uygulamanın arka kapısını içeren sürümünün aynı cihaza yüklenemeyeceği anlamına gelir. Štefanko sözlerine şöyle devam etti: “Bunun iki nedeni olabilir; ya saldırgan potansiyel kurbanlarla önce iletişim kurarak onları cihazlarında Telegram yüklüyse kaldırmaya zorlar ya da saldırı, Telegram kullanımının nadir olduğu ülkelere odaklanır.”

StrongPity uygulaması, tıpkı resmi sürümünün yaptığı gibi Telegram internet sitesinde yer alan standart API’lerı kullanarak çalışmış olsa da artık bu şekilde çalışmıyor. Mobil cihazlara yönelik keşfedilen ilk StrongPity kötü amaçlı yazılımıyla karşılaştırıldığında bu sürüm arka kapı casusluk özelliklerini geliştirmiş. Kurbanın uygulamanın bildirimlere erişim sağlamasına onay vermesi ve erişilebilirlik hizmetlerini etkinleştirmesi halinde söz konusu arka kapı, gelen bildirimleri gözetleyip sohbetleri dışarı aktarıyor.

  • Yorumlar 0
  • Facebook Yorumları 0
    UYARI: Küfür, hakaret, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış,
    Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.
    Bu habere henüz yorum eklenmemiştir.
Diğer Haberler
  • Sahte iPhone 16 tekliflerine dikkat09 Eylül 2024 Pazartesi 10:41
  • Takviye ürün dolandırıcılığı arttı07 Eylül 2024 Cumartesi 09:20
  • Tehlike arama motorları ile yayılıyor06 Eylül 2024 Cuma 10:51
  • Güvenlik açıklarına dikkat02 Eylül 2024 Pazartesi 10:49
  • Banka dolandırıcılığına dikkat02 Eylül 2024 Pazartesi 09:20
  • Dijital kimlik nasıl korunur?31 Ağustos 2024 Cumartesi 09:27
  • Ebeveynler bu tuzağa düşmeyin!31 Ağustos 2024 Cumartesi 09:25
  • Siber suçluların en sevdiği saldırı29 Ağustos 2024 Perşembe 10:31
  • İnternet kullanıcıları saldırı altında26 Ağustos 2024 Pazartesi 09:53
  • Siber suçluların yeni tekniği23 Ağustos 2024 Cuma 09:18
  • Tüm Hakları Saklıdır © 2015 Bursa Bakış | İzinsiz ve kaynak gösterilmeden yayınlanamaz.
    Tel : Haber İhbar Hattı: 0544.201 80 43 Faks : 0544.201 80 43