Siber güvenlik şirketi ESET’in yaptığı bir araştırmaya göre Türk bir grup olduğu düşünülen StrongPity adlı grubun dar bir çevreden veri toplamak için sahte bir Android görüntülü sohbet uygulaması kullandığını ortaya çıkardı.
StrongPity, yetişkin görüntülü sohbet sitesi olan Shagle’ı taklit eden bir internet sitesini ve kullanıcıların telefon görüşmelerini, SMS mesajlarını ve düzinelerce mobil uygulamadan veri çalabilen bir uygulamasını oluşturarak kullanıcıları tuzağa düşürdü.
TELEGRAM’IN AÇIK KAYNAK KODUNU KULLANMIŞLAR
Slovakya merkezli siber güvenlik şirketi ESET’e göre StrongPity adlı grup, kötü niyetli uygulamayı, yabancılar kişiler arasında şifreli iletişim sağlayan Shagle adlı gerçek bir görüntülü sohbet hizmetini taklit eden bir internet sitesi aracılığıyla dağıttı.
Tamamen web tabanlı olan ve resmî bir uygulaması olmayan Shagle’ı taklit eden internet sitesi aracılığıyla dağıtılan sahte uygulama, StrongPity’nin arka kapı koduyla yeniden paketlenmiş mesajlaşma uygulaması Telegram’ın değiştirilmiş bir açık kaynak koduna dayanıyor.
Türk hackerların zararlı yazılım saldırısı 11 ülkeyi etkiledi
Çeşitli casusluk yeteneklerine sahip olan sahte uygulama, kullanıcıların telefon görüşmelerini kaydedebiliyor, SMS mesajlarını ve kişi listelerini toplayabiliyor ve eğer kullanıcılar bu sahte uygulamada erişime izin verdiği takdirde Instagram, Twitter, Messenger ve Snapchat gibi diğer mobil uygulamalardan veri çalabiliyor.
StrongPity’nin bu sahte uygulamayla yaptığı bir diğer şey de Samsung cihazlardaki resmî güvenlik uygulamasını devre dışı bırakmaya çalışmak oldu.
KURBANLARIN KİM OLDUĞU BİLİNMİYOR
Kötü amaçlı uygulama Kasım 2021’de piyasaya sürülmesine rağmen ESET, kurbanlarından hiçbirini tespit edemedi. Araştırmacılar bunun nedeninin kampanyanın “çok dar hedefli” olması olduğunu öne sürdü.
ESET ayrıca potansiyel kurbanların taklitçi internet sitesine nasıl çekildiğini veya bu internet sitesini nasıl keşfettiğini de belirleyememesine rağmen her iki sitenin de ana sayfalarının neredeyse aynı göründüğünü ama taklitçi olanın ziyaretçileri görüntülü sohbet başlatmak yerine bir uygulama indirmeye yönlendirdiğini belirtti.
Google Play mağazasında hiçbir zaman kullanıma sunulmayan sahte uygulamayı kullanıcılar yalnızca doğrudan taklitçi internet sitesinden indirebildi.
Sahte Shagle uygulamasının artık aktif olmadığını belirten araştırmacıları bunun sebebinin, grubun ilk test amaçları için Telegram’dan örnek bir API kimliği kullanmış olduğu ama bu kimliğin Telegram tarafından devre dışı bırakılmış olduğunu söyledi.
Araştırmacılar raporlarında, “Uygulamanın yeni ve çalışan bir sürümü internet sitesi aracılığıyla hiç kullanıma sunulmadığından, StrongPity’nin kötü amaçlı yazılımı istediği hedeflere başarıyla dağıttığını gösterebilir.” ifadelerini kullandı.
GRUP UYGULAMAYI GÜNCELLERSE TEHLİKEYE YOL AÇABİLİR
Her iki uygulama da Telegram kimliğini kullandığı için Android’de bir arada bulunamayacağını söyleyen araştırmacılar, Telegram’ın hâlihazırda yüklü olduğu potansiyel kurbanların cihazlarına sahte Shagle uygulamasını yüklemenin imkânsız olduğunu belirtti.
ESET araştırmacılarına göre bu durum ya StrongPity’nin daha önce potansiyel kurbanlarıyla iletişim kurduğunu ve onları Telegram’ı cihazlarından kaldırmaya ikna ettiğini ya da kampanyanın Telegram’ın kullanılmadığı ülkelere odaklandığını gösteriyor.
Uyarıda da bulunan araştırmacılar uygulama şu anda kullanılamıyor olsa da StrongPity’nin uygulamayı güncellemeye karar vermesi hâlinde bu durumun her an değişebileceğini vurguladı.
KÖTÜ AMAÇLI ANDROİD UYGULAMASI GEÇMİŞLERİ VAR
StrongPity’nin kullanıcıları gözetlemek için Android kötü amaçlı yazılım kullanma geçmişi bulunuyor.
Grup geçtiğimiz yıl Suriye e-devlet Android uygulamasının kötü niyetli bir versiyonunu yaratmıştı. Trend Micro tarafından yapılan araştırmaya göre bu uygulama, kişi listelerini çalabiliyor ve kurbanının cihazından dosya toplayabiliyordu.
ESET’e göre bir önceki kampanyaya kıyasla yeni StrongPity arka kapısı daha geniş casusluk özelliklerine sahip. StrongPity’nin hangi ülke tarafından desteklendiği belli olmasa da bazı güvenlik araştırmacıları bunun muhtemelen bir Türk grubu olduğunu söyledi.
StrongPity 2012’den beri aktif ve genellikle belirli kullanıcılar tarafından kullanılan yasal yazılımlara arka kapılar ekleyerek aynı taktikleri izliyor.
StrongPity’nin zararlı yazılımları şimdiye dek İtalya, Belçika, Cezayir ve Fransa’da binlerce sisteme bulaştığı biliniyor.
