StrongPity Bilgisayar Korsanları, Android Kullanıcılarını Hedeflemek için Trojanlaştırılmış Telegram Uygulamasını Dağıtıyor

StrongPity olarak bilinen gelişmiş kalıcı tehdit (APT) grubu, Shagle adlı bir görüntülü sohbet hizmetini taklit eden sahte bir web sitesi aracılığıyla android kullanıcılarını telegram uygulamasının turuva atı haline getirilmiş bir sürümüyle hedef aldı.

ESET kötü amaçlı yazılım araştırmacısı Lukáš Štefenko teknik bir raporda "Shagle hizmetini taklit eden bir kopyacı web sitesi, StrongPity'nin mobil arka kapı uygulamasını dağıtmak için kullanılıyor" dedi. "Uygulama, StrongPity arka kapı koduyla yeniden paketlenmiş, açık kaynaklı telegram uygulamasının değiştirilmiş bir sürümüdür."

APT-C-41 ve Promethium adlarılada bilinen StrongPity en az 2012'den beri faliyet gösteren ve operasyonlarının büyük bölümünü Suriye ve Türkiye'ye odaklanmış bir siber casusluk grubudur. Grubun varlığı ilk olarak Kaspersky tarafından Ekim 2016 yılında kamuoyuna duyrulmuştu.

Tehdit aktörünün kampanyaları o zamandan beri Afrika, Asya, Avrupa ve Kuzey Amerika'da daha fazla hedefi kapsayacak şekilde genişledi ve izinsiz girişler öldürme zincirini etkinleştirmek için sulama deliği saldırılarından ve kimlik avı mesajlarından yararlandı.

StrongPity'nin ana ayırt edici özelliklerinden biri, çok çeşitli yazılım araçları sunduğu iddia edilen sahte web sitelerini kullanması, yalnızca kurbanlarını yasal uygulamaların kusurlu sürümlerini indirmeleri için kullanmasıdır.

Aralık 2021'de Minerva Labs, görünüşte iyi huylu bir Notepad++ kurulum dosyasının yürütülmesinden kaynaklanan ve sonuçta virüslü bilgisayarlara bir arka kapı ileten üç aşamalı bir saldırı dizini açıkladı.

ESET'in en son bulguları, telefon aramalarını kaydetmek, cihaz konumlarını izlemek ve SMS mesaşları, arama günlükleri, kişi listeleri ve dosyaları toplamak için donatılmış Android arka kapı yükünün güncellenmiş bir sürümünü dağıtmak üzere tasarlanmış benzer bir çalışma biçimini vurgulamaktır.

Ek olarak kötü amaçlı yazılıma erişebilirlik hizmetlerine izin verilmesi, Gmail, Instagram, Kik, LINE, Messenger, Skype, Snapchat, Telegram, Tinder, Twitter, Viber ve WeChat gibi çeşitli uygulamalardan gelen bildirimleri ve mesajları sifonlamasına olanak tanır.

Slovak siber güvenlik şirketi, implantı modüler olarak tanımladı ve StrongPity'nin kampanyalarının gelişen hedeflerine uyum sağlamak için uzaktan komuta ve kontrol (C2) sunucusundan ek bileşenler indirilebilir.

Arka kapı işlevi, Telegram'ın Android uygulamasının 25 şubat 2022 civarında indirilebilen yasal bir sürümü içerisinde gizlenmiştir. Bunnunla birlikte sahte Shagle web sitesi artık aktif değildir, ancak göstergeler, etkinliğin "çok dar bir şekilde hedeflendiğine" telemetri verilerinin eksikliği işaret etmektedir.

Ayrıca uygulamanın resmi Google Play Store'da yayınlandığına dair kanıt ta bulunmamaktadır. Potansiyel kurbanların sahte web sitesine nasıl çekildiği ve sosyal mühendizlik, arama motoru zehirlenmesi veya sahte reklamlar gibi teknikleri içerip içermediği şu anda bilinmiyor.

Ayrıca uygulamanın (" video.apk ") resmi Google Play Store'da yayınlandığına dair hiçbir kanıt yoktur. Potansiyel kurbanların sahte web sitesine nasıl çekildiği ve sosyal mühendizlik, arama motoru zehirlenmesi veya sahte reklemlar gibi teknikleri içerip içermediği şu anda bilinmiyor.

Štefenko, "kötü amaçlı etki alanı aynı gün kaydedildi, bu nedenle taklitçi site ve sahte Shagle uygulaması o tarihten beri indirilir durumda olabilir,"diye belirti Štefenko.

Saldırının bir başka dikkate değer yönü de, Telegramın kurcalanmış sürümünün orjinal Telegram uygulamasıyla aynı paket adını kullanmasıdır, yani arka kapılı varyant, Telegramın zaten kurulu olduğu bir cihaza yüklenemez.

Štefenko, "Bu iki şeyden biri anlamına gelebilir - ya tehdit aktörü önce potansiyel kurbanlarla iletişim kurar ve onları Telegram yüklüyse cihazlarından kaldırmaya zorlar yada kampanya, iletişim için Telegram kullanımının nadir olduğu ülkelere odaklanır."