Google Play’deki casus yazılım mesajlaşma programları

Araştırmacılar Google Play’de Telegram ve Signal’in casus yazılım bulaşmış birkaç sürümünü buldu.

Telegram, Signal ve WhatsApp gibi popüler mesajlaşma programları için piyasada oldukça fazla sayıda alternatif istemci vardır (istemciler müşterilerle (insanlarla) karıştırılmamalıdır; bu kafa karıştırıcı dili seçen kişinin iyi bir konuşmaya ihtiyacı vardır). Modlar olarak bilinen bu tür modifiye edilmiş uygulamalar, kullanıcılara genellikle resmi istemcilerde bulunmayan özellik ve yetenekler sağlar.

WhatsApp modları onaylamasa da ve periyodik olarak onları resmi uygulama mağazalarından yasaklasa da, Telegram sadece alternatif istemcilere hiçbir zaman savaş açmamakla kalmadı, aynı zamanda aktif olarak modların oluşturulmasını da teşvik ediyor, yani Telegram modları mantar gibi ortaya çıkıyor. Ama bunlar güvenilir mi?

Ne yazık ki, son zamanlarda yapılan çeşitli çalışmalar, mesajlaşma modlarının büyük bir dikkatle ele alınması gerektiğini gösteriyor. Çoğu kullanıcı Google Play’de doğrulanmış ve yayınlanmış uygulamalara körü körüne güvenmeye devam etmesine rağmen, tehlikeleri defalarca vurguladık: Google Play’de bir uygulama indirirken aynı zamanda bir Truva atı da (bunun 100 milyondan fazla indirmesi olmuştur!), bir arka kapı, kötü niyetli bir sürdürümcü ve/veya bir sürü başka pislik alabilirsiniz.

Sıcak haber: Google Play’de Çince ve Uygurca Telegram’a virüs bulaştı

Güncel bir hikayeyle başlayacağız. Uzmanlarımız Google Play’de Telegram’ın Uygurca, Basitleştirilmiş Çince ve Geleneksel Çince sürümleri kılığında çok sayıda virüslü uygulama keşfetti. Uygulama açıklamaları ilgili dillerde yazılmıştır ve Google Play’deki resmi Telegram sayfasındakilere çok benzer görseller içermektedir.

Geliştirici, kullanıcıları resmi uygulama yerine bu modları indirmeye ikna etmek için, tüm dünyada dağıtılmış veri merkezleri ağı sayesinde diğer istemcilerden daha hızlı çalıştıklarını iddia ediyor.

Google Play'de Telegram'ın casus yazılım sürümleri

Google Play’de içinde casus yazılım bulunduran Telegram’ın basitleştirilmiş Çince, Geleneksel Çince ve Uygur versiyonları

İlk bakışta bu uygulamalar, yerelleştirilmiş bir arayüze sahip tam teşekküllü Telegram klonları gibi görünür. Her şey neredeyse gerçeğiyle aynı görünür ve çalışır.

Kodun içine bir göz attık ve uygulamaların, resmi uygulamanın biraz değiştirilmiş versiyonlarından biraz daha fazlası olduğunu gördük. Bununla birlikte, Google Play moderatörlerinin dikkatinden kaçan küçük bir fark var: virüslü sürümler ek bir modül barındırıyor. Mesajlaşma uygulamasında olup bitenleri sürekli olarak izler ve casus yazılım oluşturucularının komuta ve kontrol sunucusuna yığınla veri gönderir: tüm kişiler, ekli dosyalarla gönderilen ve alınan mesajlar, sohbetlerin/kanalların adları, hesap sahibinin adı ve telefon numarası — temel olarak kullanıcının tüm yazışmaları. Kullanıcı adını veya telefon numarasını değiştirse bile bu bilgiler saldırganlara da gönderiliyor.

Daha önce: Google Play’de Telegram ve Signal’in casus yazılım sürümleri

İlginç bir şekilde, kısa bir süre önce ESET’teki araştırmacılar Telegram’ın başka bir casus yazılım sürümü olan FlyGram’ı buldu. Doğrusu, bu sürüm resmiymiş gibi davranmaya bile çalışmadı. Bunun yerine kendisini alternatif bir Telegram istemcisi (yani sadece bir mod) olarak konumlandırdı ve yalnızca Google Play’de değil, Samsung Galaxy Store’da da yerini buldu.

Daha da ilginç olanı, oluşturucularının kendilerini yalnızca Telegram’ı taklit etmekle sınırlamamış olmasıydı. Aynı mağazalarda Signal’in virüslü bir sürümünü de yayınladılar ve buna Signal Plus Messenger adını verdiler. Ve daha fazla inanılırlık sağlamak için, sahte uygulamaları için flygram[.]org ve signalplus[.]org web sitelerini bile oluşturacak kadar ileri gittiler.

Signal Plus Messenger: Google Play'de ve Samsung Galaxy Store'da bulunan Signal'in casus yazılım sürümü

Ayrıca Signal için Google Play’de de Signal Plus Messenger adında bir casus yazılım istemcisi vardır. (Kaynak)

İçeride bu uygulamalar, açık kaynak kodu kötü amaçlı ilaveler ile donatılmış olan tam teşekküllü Telegram/Signal mesajlaşma programlarından oluşuyordu.

Böylece FlyGram, kurbanın akıllı telefonundaki kişileri, arama geçmişini, Google hesaplarının bir listesini ve diğer bilgileri çalmayı ve depolanacak olan yazışmaların “yedek kopyalarını” saklamayı öğrendi… bu saklama saldırganların sunucusu dışında başka bir yerde yapılır (yine de bu “seçenek” kullanıcı tarafından bağımsız olarak modifiye edilen mesajlaşma uygulamasında aktif hale getirilmelidir).

Signal Plus durumunda ise yaklaşım bir dereceye kadar farklıydı. Kötü amaçlı yazılım, kurbanın akıllı telefonundan belirli miktarda bilgiyi doğrudan kazır, saldırganların fark edilmeden kendi cihazlarından kurbanın Signal hesabına giriş yapmasına ve böylece tüm yazışmaları neredeyse gerçek zamanlı olarak okuyabilmesine olanak sağladı.

FlyGram, Temmuz 2020’de Google Play’de göründü ve Ocak 2021’e kadar orada kaldı, bu sırada Signal Plus ise Temmuz 2022’de uygulama mağazalarında yayınlandı ve Mayıs 2023’te sadece Google Play’den kaldırıldı. BleepingComputer’a göre, Samsung Galaxy Store’da her iki uygulama da Ağustos 2023’ün sonunda hâlâ mevcuttu. Artık bu mağazalardan tamamen çıkmış olsalar bile, tüm mesajlarını meraklı gözlere maruz bırakan bu “hızlı ve kolay” mesajlaşma modlarını kullanmaya devam eden kaç şüphelenilmeyen kullanıcı var?

Virüslü WhatsApp ve Telegram sahte kripto cüzdan adresleri

Ve sadece birkaç ay önce, aynı güvenlik araştırmacıları WhatsApp ve Telegram’ın öncelikle kripto para birimi hırsızlığını amaçlayan çok sayıda truva atı sürümünü ortaya çıkardı. Gelen transferleri engellemek için mesajlardaki kripto cüzdan adreslerini taklit ederek çalışırlar.

Virüs bulaşmış WhatsApp, mesajlarda kripto cüzdan adresini taklit eder

WhatsApp’ın virüslü bir sürümü (solda), WhatsApp’ın resmi virüs bulaşmamış sürümüne (sağda) sahip olan alıcıya gönderilen bir mesajdaki kripto cüzdan adresini taklit ediyor. (Kaynak)

Buna ek olarak, bulunan sürümlerden bazıları, bir kripto cüzdan üzerinde tam kontrolü sağlamak ve ardından bunları boşaltan şifre harfleri için akıllı telefonun belleğinde saklanan ekran görüntülerini aramak için görüntü tanımlamayı kullanmaktadır.

Ve sahte Telegram uygulamalarından bazıları, Telegram bulutunda depolanan kullanıcı profili bilgilerini çaldı: yapılandırma dosyaları, telefon numaraları, kişiler, mesajlar, gönderilen/alınan dosyalar vb. Temel olarak, diğer cihazlarda oluşturulan gizli sohbetler dışındaki tüm kullanıcı verilerini çaldılar. Tüm bu uygulamalar Google Play üzerinden değil, çeşitli sahte siteler ve YouTube kanalları aracılığıyla dağıtıldı.

Nasıl güvende kalınabilir

Son olarak, Android kullanıcılarını hedef alan diğer tehditlerin yanı sıra kendinizi popüler mesajlaşma programlarının virüslü sürümlerinden nasıl koruyacağınızla ilgili birkaç ipucu:

  • Gördüğümüz gibi Google Play bile kötü amaçlı yazılımlara karşı bağışıklık sahibi değildir. Bununla birlikte, resmi mağazalar hala diğer kaynaklardan çok daha güvenlidir. Bu nedenle, uygulamaları indirmek ve yüklemek için her zaman bunları kullanın.
  • Bu yazının da açıkça ortaya koyduğu gibi, popüler mesajlaşma uygulamalarının alternatif istemcilerine karşı son derece dikkatli davranılmalıdır. Açık kaynak, herkesin mod oluşturmasına ve bunları her türlü kötü sürprizle doldurmasına olanak tanır.
  • En resmi mağazadan en resmi uygulamayı bile yüklemeden önce, sayfasına yakından bakın ve gerçek olduğundan emin olun; yalnızca isme değil, geliştiriciye de dikkat edin. Siber suçlular genellikle orijinaline benzer açıklamalara sahip uygulamaların klonlarını oluşturarak kullanıcıları kandırmaya çalışır.
  • Olumsuz kullanıcı yorumlarını okumak iyi bir fikirdir; eğer bir uygulamada bir sorun varsa, büyük olasılıkla birisi bunu zaten fark etmiş ve hakkında yazmıştır.
  • Ve tüm Android cihazlarınıza güvenilir bir korumayı yüklediğinizden emin olun; bu, kötü amaçlı yazılım gizlice içeri girmeye çalıştığında sizi uyaracaktır.
  • Kaspersky: Antivirus & VPN uygulamasının ücretsiz sürümünü kullanıyorsanız, kurulumdan sonra ve herhangi bir uygulamayı ilk kez çalıştırmadan önce cihazınızı manuel olarak taramayı unutmayın.
  • Tehdit taraması, Kaspersky Standard, Kaspersky Plus ve Kaspersky Premium abonelik planlarında yer alan Android için güvenlik çözümümüzün tam sürümünde otomatik olarak yapılır.
İpuçları