Casus yazılım içeren WhatsApp modları

Araştırmacılarımız, Telegram kanalları ve WhatsApp modları içeren web siteleri aracılığıyla dağıtılan casus yazılım bulaşmış WhatsApp modifikasyonları keşfetti.

Araştırmacılarımız, Telegram kanalları ve WhatsApp modları içeren web siteleri aracılığıyla dağıtılan casus yazılım bulaşmış WhatsApp modifikasyonları keşfetti.

Son on yılda, WhatsApp ve Telegram gibi mesajlaşma uygulamaları neredeyse her internet kullanıcısının hayatının ayrılmaz bir parçası haline geldi. Milyarlarca insan bunları sevdikleriyle sohbet etmek, arkadaşlarıyla komik resimler ve videolar paylaşmak, iş arkadaşlarıyla iletişim kurmak, haberleri takip etmek ve daha pek çok şey için bunları kullanıyor. Bu mesajlaşma uygulamaları olmadığında yaşamnızın nasıl olabileceğini hayal etmeyi deneyin. Zor değil mi? Ne yazık ki, bu vazgeçilmez uygulamalar bazen gizli tehditler içermekte.

WhatsApp ve Telegram modları: nedir ne değildir

Bazı kullanıcılar resmi WhatsApp ve Telegram uygulamalarında bazı işlevlerin eksik olduğunu düşünüyor; arayüzü özelleştirmek için ek seçeneklerler veya daha spesifik olarak mesela sohbetleri gizleme, mesajları otomatik olarak tercüme etme veya sohbet partnerleri tarafından silinen mesajları görüntüleme gibi özellikler. “Eksik” bulunan özellikler listesi oldukça uzun.

Üçüncü taraf geliştiriciler, en tuhaf kullanıcı ihtiyaçlarını bile karşılamak için standart WhatsApp ve Telegram uygulamalarında modifikasyonlar veya modlar hazırlar ve bu türden çok sayıda mod vardır.

Bunlardan herhangi birini yüklemekteki sorun, kullanıcının yazışmalarını yalnızca orijinal mesajlaşma yazılımının geliştiricilerine değil, aynı zamanda kötü amaçlı modülleri kolayca gizleyebilen mod geliştiricilerine açık hale getirmesidir; ayrıca mod dağıtıcılarının başka şeyler eklemesi de mümkündür.

WhatsApp söz konusu olduğunda, modlarla ilgili durum uygulamanın sahipleri tarafından daha da karmaşık hale getirilmektedir. Bu tür modifikasyonları onaylamıyorlar ve bu yüzden dağıtımlarını engelliyorlar. WhatsApp’ın sahipleri şimdiye kadar başarısız olsa da zaman zaman insanların mod kullanmasını yasaklamaya çalışıyor. Bu arada, Google Play ve App Store gibi resmi mağazalardan WhatsApp için alternatif istemcileri engelleme konusunda bir miktar başarı elde ettiler.

Sonuç olarak, WhatsApp modlarının kullanıcıları bunları hemen hemen her yerden indirmeye alıştı. APK dosyaları cesurca indirilir, ayarlar bilinmeyen kaynaklardan yüklemeye izin verecek şekilde değiştirilir ve modlar daha sonra telefonlarda çalıştırılır. Siber suçlular da bu dikkatsizlikten faydalanarak modların içine kötü amaçlı yazılımlar yerleştirir.

Uzmanlarımız kısa süre önce, bu yazıda inceleyeceğimiz bu tür birkaç virüslü mod buldu.

Telegram’da virüslü WhatsApp modları

Uzmanlarımızın dikkatini çeken WhatsApp modları daha önce herhangi bir kötü niyetli aktivite sergilememişti. Ancak şimdi, güvenlik çözümlerimizin Trojan-Spy.AndroidOS.CanesSpy olarak tespit ettiği bir casus modül içeriyorlar.

Kurbanın akıllı telefonuna yüklendikten sonra, virüslü WhatsApp modu, casus modülü başlatmadan önce telefonun açılmasını veya şarja takılmasını bekler. İlgili listeden C2 sunucularından biriyle iletişime geçer ve telefon numarası, IMEI, hücresel ağ kodu gibi cihazla ilgili çeşitli bilgileri sunucuya yükler. Dahası, casus Truva atı kurbanın kişileri ve hesapları hakkındaki bilgileri her beş dakikada bir sunucuya gönderir ve bu sırada komut bekler.

Servis komutlarını bir kenara bırakırsak, casus modülün yapabilecekleri esasen iki işleve indirgenmiştir:

  • Cihazda arama yaparak akıllı telefonun belleğinde (sistem harici bölümde veya Android terminolojisinde “harici depolama”) bulunan operatör dosyalarını gönderme
  • Dahili mikrofondan ses kaydetme ve daha önce olduğu gibi kayıtları C2’ye gönderme

Casus yazılımın nasıl dağıtıldığına gelince, virüslü WhatsApp modifikasyonları, popüler modların isimleri altında çeşitli Arap ve Azeri Telegram kanallarında bulundu: GBWhatsApp, WhatsApp Plus ve arayüzü Azericeye çevrilmiş bir WhatsApp Plus sürümü olan AZE PLUS.

Telegram kanallarında virüslü WhatsApp modları

Casus yazılım bulaşmış WhatsApp modları çoğunlukla Azerice ve Arapça Telegram kanallarında dağıtıldı

Buna ek olarak, uzmanlarımız WhatsApp mod indirme web sitelerinde casus modül içeren APK dosyaları keşfetti.

Ekim ayında güvenlik çözümlerimiz 100’den fazla ülkede bu casus yazılım tarafından gerçekleştirilen 340.000’den fazla saldırıyı tespit etti ve önledi. Burada sadece çözümlerimiz tarafından engellenen saldırılardan bahsettiğimizi unutmayın. Toplam sayı (çözümlerimizin kurulu olmadığı telefonlar hesaba katıldığında) muhtemelen çok daha yüksektir.

Tehdidin coğrafi yayılımı geniş olmakla birlikte, en fazla sayıda bulaşma girişimi büyük bir farkla Azerbaycan’da kaydedilmiş, bunu Yemen, Suudi Arabistan ve Mısır gibi birkaç Arap ülkesinin yanı sıra Türkiye izlemiştir.

Trojan-Spy.AndroidOS.CanesSpy'ın bulaşma girişimlerinin coğrafyası

WhatsApp casus modlarının dağıtıldığı ilk 20 ülke

Messenger casus yazılımlarına karşı kendinizi nasıl korursunuz?

Bu, 2023 yılında değiştirilmiş mesajlaşma uygulamalarında kötü amaçlı modüllerin bulunduğu ilk vaka değil. Birkaç ay önce Telegram, WhatsApp ve hatta güvenli mesajlaşma programı Signal için bir dizi virüslü mod hakkında bir yazı yayınlamıştık. Dolayısıyla tetikte olmak için her türlü neden vardır:

  • Yalnızca resmi WhatsApp ve Telegram uygulamalarını kullanın. Gördüğümüz gibi, mesajlaşma modları kötü amaçlı yazılımlar barındırmaya açıktır.
  • Uygulamaları yalnızca resmi mağazalardan yükleyin: Apple App Store, Google Play, Huawei AppGallery vb. Bu mağazaların da kötü amaçlı yazılımlara karşı yüzde yüz bağışık olduğu söylenemez ancak yine de genellikle hiçbir güvenlik önlemi olmayan üçüncü taraf web sitelerinden çok daha güvenlidirler.
  • Herhangi bir uygulamayı yüklemeden önce mağazadaki sayfasını inceleyin ve sahte olmadığından emin olun; kötü amaçlı kişiler genellikle popüler uygulamaların klonlarını oluşturur.
  • Olumsuz yorumlara özellikle dikkat ederek uygulamanın kullanıcı yorumlarını okuyun. Bu uygulamaların şüpheli aktiviteler sergileyip sergilemediğini muhtemelen yorumlardan görebilirsiniz.
  • Tüm cihazlarınıza güvenilir koruma yüklediğinizden emin olun. Koruma, görünüşte zararsız bir uygulamanın içindeki kötü amaçlı kodu tespit edecek ve sizi zamanında uyaracaktır.
  • Uygulamamızın ücretsiz sürümünde Kaspersky for Androidtaramayı manuel olarak çalıştırmanız gerektiğini unutmayın.
  • Kaspersky Standard, Kaspersky Plus ve Kaspersky Premium aboneliklerine dahil olan Android korumamızın premium sürümünü kullanıyorsanız arkanıza yaslanıp rahatlayabilirsiniz: tehditlere karşı tarama otomatik olarak gerçekleşir.
İpuçları