Siber Muhbir

Cyfirma, "Sahte bir 'Telegram Premium' uygulaması kılığına girerek, Rusya Federasyonu'nda popüler bir uygulama mağazası olan RuStore'u taklit eden GitHub.io tarafından barındırılan bir kimlik avı sitesi aracılığıyla dağıtılıyor" dedi ve bunu "sofistike ve çok yönlü bir tehdit" olarak nitelendirdi.

"Kötü amaçlı yazılım, bir damlalık APK ile başlayan çok aşamalı bir enfeksiyon süreci kullanır ve yüklendikten sonra kapsamlı gözetim faaliyetleri gerçekleştirir."

Söz konusu kimlik avı sitesi, rustore-apk.github[.]io, Rus teknoloji devi VK tarafından ülkede başlatılan bir uygulama mağazası olan RuStore'u taklit ediyor ve bir damlalık APK dosyası ("GetAppsRu.apk") sunmak üzere tasarlandı.

Damlalık kurulduktan sonra, bildirimler, mesajlar ve diğer uygulama verileri dahil olmak üzere hassas verilerin bir Firebase Gerçek Zamanlı Veritabanı uç noktasına sızdırılmasından sorumlu olan ana yük için bir dağıtım aracı görevi görür.

Damlalık uygulaması, Android 8 ve sonraki sürümleri çalıştıran virüslü Android cihazlarda harici depolamaya yazma ve rastgele uygulamaları yükleme, güncelleme veya silme yeteneği de dahil olmak üzere çeşitli izinler ister.

"ENFORCE_UPDATE_OWNERSHIP izni, uygulama güncellemelerini uygulamanın belirlenmiş sahibiyle kısıtlar. Bir uygulamanın ilk yükleyicisi kendisini 'güncelleme sahibi' ilan edebilir ve böylece uygulamadaki güncellemeleri kontrol edebilir" dedi.

"Bu mekanizma, diğer yükleyiciler tarafından yapılan güncelleme girişimlerinin devam etmeden önce kullanıcı onayı gerektirmesini sağlar. Kötü amaçlı bir uygulama, kendisini güncelleme sahibi olarak atayarak diğer kaynaklardan gelen meşru güncellemeleri engelleyebilir ve böylece cihazdaki kalıcılığını koruyabilir."

FireScam, tespit edilmekten kaçınmak için çeşitli gizleme ve anti-analiz teknikleri kullanır. Ayrıca, ilgilenilen bilgileri toplamak için gelen bildirimleri, ekran durumu değişikliklerini, e-ticaret işlemlerini, pano içeriğini ve kullanıcı etkinliğini takip eder. Dikkate değer bir diğer işlev, belirli bir URL'den görüntü verilerini indirme ve işleme yeteneğidir.

Hileli Telegram Premium uygulaması başlatıldığında, kullanıcıların kişi listelerine, arama günlüklerine ve SMS mesajlarına erişmek için daha fazla izin ister, ardından kimlik bilgilerini çalmak için bir WebView aracılığıyla meşru Telegram web sitesi için bir oturum açma sayfası görüntülenir. Veri toplama süreci, mağdurun oturum açıp açmadığına bakılmaksızın başlatılır.

Son olarak, Firebase Cloud Messaging (FCM) bildirimlerini almak için bir hizmet kaydederek uzaktan komutlar almasına ve gizli erişimi sürdürmesine olanak tanır - kötü amaçlı yazılımın geniş izleme yeteneklerinin bir işareti. Kötü amaçlı yazılım ayrıca veri hırsızlığı ve takip etkinlikleri için komuta ve kontrol (C2) sunucusuyla aynı anda bir WebSocket bağlantısı kurar.

Cyfirma, kimlik avı etki alanının, muhtemelen Rusya merkezli paket ve teslimat izleme hizmetine atıfta bulunan CDEK adlı başka bir kötü amaçlı esere de ev sahipliği yaptığını söyledi. Ancak siber güvenlik şirketi, analiz sırasında eseri elde edemediğini söyledi.

Şu anda operatörlerin kim olduğu veya kullanıcıların bu bağlantılara nasıl yönlendirildiği ve SMS kimlik avı veya kötü amaçlı reklam teknikleri içerip içermediği açık değil.

Cyfirma, "RuStore uygulama mağazası gibi meşru platformları taklit ederek, bu kötü amaçlı web siteleri, bireyleri sahte uygulamaları indirmeleri ve yüklemeleri için kandırmak için kullanıcı güveninden yararlanıyor" dedi.

"FireScam, veri hırsızlığı ve gözetimi de dahil olmak üzere kötü niyetli faaliyetlerini yürüterek, kimlik avı tabanlı dağıtım yöntemlerinin cihazlara virüs bulaştırmada ve tespit edilmekten kaçınmada etkinliğini daha da gösteriyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.