Categories: Sanat

Yetişkinlere yönelik görüntülü sohbet üzerinden siber saldırı

Andorid kullanıcılarını hedefleyen casusluk saldırısına dikkat 

Dijital güvenlik şirketi ESET,  gelişmiş kalıcı tehdit(APT) grubu StrongPity’e ait bir casusluk saldırısını tespit etti. APT grubu, Android kullanıcılarını Shagle adlı görüntülü sohbet hizmetini taklit eden sahte bir web sitesi ve Telegram uygulamasının truva atı haline getirilmiş sürümüyle hedef alıyor.

Kurban, kötü amaçlı StrongPity uygulamasına bildirim erişimi ve erişilebilirlik hizmetleri onayı verirse, yazılım Viber, Skype, Gmail, Messenger ve Tinder gibi mesajlaşma uygulamalarından iletişimi sızdırabiliyor.

ESET araştırmacıları, yasal Telegram uygulamasının tamamen işlevsel ancak truva atı gizlenmiş bir sürümünü dağıtan aktif bir StrongPity saldırısı tespit etti. Yetişkinlere yönelik bir görüntülü sohbet uygulaması olan Shagle’ı taklit eden sahte web sitesi, StrongPity’nin mobil arka kapı uygulamasını dağıtmak için kullanılıyor. Söz konusu uygulamanın, StrongPity arka kapı kodu ile tekrar paketlenen açık kaynak Telegram uygulamasının değiştirilmiş bir sürümü olduğu belirtiliyor. StrongPity’nin modüler olan arka kapısının telefon görüşmelerini kaydetme, SMS mesajları toplama, arama günlükleri ve kişi listeleri toplama ve daha bir çok casusluk özelliğine sahip olduğu belirtiliyor. Kurban, kötü amaçlı StrongPity uygulamasına bildirim ve erişilebilirlik onayı verirse, kötü amaçlı yazılım Viber, Skype, Gmail, Messenger ve Tinder gibi mesajlaşma uygulamalarındaki yazışmalara sızabiliyor.  

Diğer mesajlaşma uygulamalarına sızma riski taşıyor 

Hizmetlerine erişim sağlanması için resmi bir mobil uygulaması olmayan tamamen internet tabanlı gerçek Shagle internet sitesinin aksine, sahte internet sitesi, internet tabanlı bir yayınlama hizmeti olmadan sadece indirilebilen bir Android uygulaması sunuyor. Truva atı içeren söz konusu Telegram uygulamasına Google Play Store üzerinden erişim sağlanamıyor. Kötü amaçlı kod, bu kodların işlevselliği, sınıf adları ve APK dosyası için kullanılan sertifika, bir önceki saldırıyla birebir benzerlik taşıdığı için ESET bu saldırının arkasında StrongPity grubunun olduğunu düşünüyor. Kod analizi, arka kapının modüler yapıya sahip olduğunu ve ekstra ikili modüllerin Komuta ve Kontrol sunucusundan indirildiğini gösteriyor. Bu, kullanılan modüllerin sayısının ve türünün, StrongPity grubu tarafından çalıştırıldığında saldırı amacına uyacak şekilde herhangi bir zamanda değiştirilebileceği anlamına gelir.

Şu an aktif değil ama her an aktif hale gelebilir

Truva atı içeren Telegram uygulamasını analiz eden ESET araştırmacısı Lukáš Štefanko, saldırı ile ilgili şunları ifade etti: “Araştırmamız sırasında sahte internet sitesinde bulunan kötü amaçlı yazılım incelendiğinde, artık aktif olmadığı ve bu yazılımın arka kapısını yüklemenin ve çalıştırmanın artık mümkün olmadığı ortaya çıktı. Bunun nedeni ise StrongPity’nin truva atı içeren Telegram uygulaması için API kimliği temin etmemesi. Ancak saldırgan söz konusu kötü amaçlı uygulamayı güncelleştirmeye karar verirse bu durum her an değişebilir.”

Tekrar paketlenen Telegram sürümü de yasal Telegram uygulamasına ait aynı paket adını kullanıyor. Paket adları, her bir Android uygulamasına özgü kimlikler ve her bir cihazda benzersiz olmalıdır. Bu da, muhtemel bir kurbanın cihazında resmi Telegram uygulaması yüklü ise bu uygulamanın arka kapısını içeren sürümünün aynı cihaza yüklenemeyeceği anlamına gelir. Štefanko sözlerine şöyle devam etti: “Bunun iki nedeni olabilir; ya saldırgan potansiyel kurbanlarla önce iletişim kurarak onları cihazlarında Telegram yüklüyse kaldırmaya zorlar ya da saldırı, Telegram kullanımının nadir olduğu ülkelere odaklanır.”

StrongPity uygulaması, tıpkı resmi sürümünün yaptığı gibi Telegram internet sitesinde yer alan standart API’lerı kullanarak çalışmış olsa da artık bu şekilde çalışmıyor. Mobil cihazlara yönelik keşfedilen ilk StrongPity kötü amaçlı yazılımıyla karşılaştırıldığında bu sürüm arka kapı casusluk özelliklerini geliştirmiş. Kurbanın uygulamanın bildirimlere erişim sağlamasına onay vermesi ve erişilebilirlik hizmetlerini etkinleştirmesi halinde söz konusu arka kapı, gelen bildirimleri gözetleyip sohbetleri dışarı aktarıyor.

 

Kaynak: (BYZHA) – Beyaz Haber Ajansı

Recent Posts

Cinsel Saldırı Suçu ve Cezası: Dereceleri, Ağırlaştırıcı Nedenleri ve Bilinmesi Gerekenler

Cinsel saldırı, Türk Ceza Kanunu'nun cinsel dokunulmazlığa karşı suçlar başlığı altında düzenlenen ve en ağır…

7 saat ago

Savunma Teknolojileri Entegrasyon Zirvesi Ankara’da Gerçekleşecek!

Savunma sanayii ve teknoloji ekosisteminin önde gelen temsilcileri, Anadolu Bilişim Buluşmaları'nın 23 Temmuz 2026'da düzenleyeceği…

2 gün ago

Küresel Markalaşmada “Türk Ekolü” Dönemi

Dijital dönüşüm ve yapay zekâ teknolojilerinin iş dünyasını hızla değiştirdiği günümüzde, pazarlama ekosistemine yön veren…

3 gün ago

Bebekli Aileler İçin Tatil Rehberi

Minik Gezginlerle Yaz Macerası: Bebekli Aileler İçin Tatil Rehberi! Yaz ayları; güneş, deniz, kumsal ve…

3 gün ago

Flormar’dan Göz Makyajında Kalıcı ve Göz Alıcı Yeni Seri: Extreme Tattoo Ailesi!

Flormar, makyaj severlerin favorisi Extreme Tattoo göz kalemi serisini, üç güçlü yeni üye ile genişletiyor.…

1 hafta ago

ÇORDEF’ten Dev Kültür ve Markalaşma Hamlesi: Projelerin Başına Mürsel Ferhat Sağlam Getirildi

Çorum Dernekler Federasyonu (ÇORDEF) Genel Başkanı Dursun Ünlü liderliğinde, sivil toplum ve iş dünyasının önde…

1 hafta ago