Samuag
New member
Dijital güvenlik şirketi ESET, gelişmiş kalıcı tehdit (APT) kümesi StrongPity’e ilişkin bir casusluk saldırısını tespit etti. APT kümesi, Android kullanıcılarını Shagle isimli manzaralı sohbet hizmetini taklit eden düzmece bir web sitesi ve Telegram uygulamasının truva atı haline getirilmiş sürümüyle maksat alıyor.
Kurban, berbat gayeli StrongPity uygulamasına bildirim erişimi ve erişilebilirlik hizmetleri onayı verirse, yazılım Viber, Skype, Gmail, Messenger ve Tinder üzere iletileşme uygulamalarından irtibatı sızdırabiliyor.
ESET araştırmacıları, yasal Telegram uygulamasının büsbütün fonksiyonel lakin truva atı gizlenmiş bir sürümünü dağıtan etkin bir StrongPity saldırısı tespit etti. Yetişkinlere yönelik bir manzaralı sohbet uygulaması olan Shagle’ı taklit eden geçersiz web sitesi, StrongPity’nin taşınabilir art kapı uygulamasını dağıtmak için kullanılıyor. Kelam konusu uygulamanın, StrongPity art kapı kodu ile tekrar paketlenen açık kaynak Telegram uygulamasının değiştirilmiş bir sürümü olduğu belirtiliyor. StrongPity’nin modüler olan art kapısının telefon görüşmelerini kaydetme, SMS iletileri toplama, arama günlükleri ve kişi listeleri toplama ve daha pek hayli casusluk özelliğine sahip olduğu belirtiliyor. Kurban, makûs maksatlı StrongPity uygulamasına bildirim ve erişilebilirlik onayı verirse, makûs hedefli yazılım Viber, Skype, Gmail, Messenger ve Tinder üzere iletileşme uygulamalarındaki yazışmalara sızabiliyor.
Hizmetlerine erişim sağlanması için resmi bir taşınabilir uygulaması olmayan büsbütün internet tabanlı gerçek Shagle internet sitesinin bilakis, geçersiz internet sitesi, internet tabanlı bir yayınlama hizmeti olmadan yalnızca indirilebilen bir Android uygulaması sunuyor. Truva atı içeren kelam konusu Telegram uygulamasına Google Play Store üzerinden erişim sağlanamıyor. Makus emelli kod, bu kodların fonksiyonelliği, sınıf isimleri ve APK belgesi için kullanılan sertifika, bundan evvelki hücumla birebir benzerlik taşıdığı için ESET bu taarruzun gerisinde StrongPity kümesinin olduğunu düşünüyor. Kod tahlili, art kapının modüler yapıya sahip olduğunu ve ekstra ikili modüllerin Komuta ve Denetim sunucusundan indirildiğini gösteriyor. Bu, kullanılan modüllerin sayısının ve çeşidinin, StrongPity kümesi tarafınca çalıştırıldığında akın hedefine uyacak biçimde rastgele bir vakitte değiştirilebileceği manasına gelir.
Truva atı içeren Telegram uygulamasını tahlil eden ESET araştırmacısı Lukáš Štefanko, hücum ile ilgili şunları tabir etti: “Araştırmamız sırasında uydurma internet sitesinde bulunan makus gayeli yazılım incelendiğinde, artık etkin olmadığı ve bu yazılımın art kapısını yüklemenin ve çalıştırmanın artık mümkün olmadığı ortaya çıktı. Bunun sebebi ise StrongPity’nin truva atı içeren Telegram uygulaması için API kimliği temin etmemesi. Lakin saldırgan kelam konusu makus emelli uygulamayı yenileştirmeye karar verirse bu durum her an değişebilir.”
yine paketlenen Telegram sürümü de yasal Telegram uygulamasına ilişkin birebir paket ismini kullanıyor. Paket isimleri, her bir Android uygulamasına has kimlikler ve her bir aygıtta eşsiz olmalıdır. Bu da, olası bir kurbanın aygıtında resmi Telegram uygulaması yüklü ise bu uygulamanın art kapısını içeren sürümünün birebir aygıta yüklenemeyeceği manasına gelir. Štefanko kelamlarına şu biçimde devam etti: “Bunun iki sebebi olabilir; ya saldırgan potansiyel kurbanlarla evvel bağlantı kurarak onları aygıtlarında Telegram yüklüyse kaldırmaya zorlar ya da akın, Telegram kullanmasının az olduğu ülkelere odaklanır.”
StrongPity uygulaması, tıpkı resmi sürümünün yaptığı üzere Telegram internet sitesinde yer alan standart API’lerı kullanarak çalışmış olsa da artık bu türlü çalışmıyor. Taşınabilir aygıtlara yönelik keşfedilen birinci StrongPity berbat gayeli yazılımıyla karşılaştırıldığında bu sürüm art kapı casusluk özelliklerini geliştirmiş. Kurbanın uygulamanın bildirimlere erişim sağlamasına onay vermesi ve erişilebilirlik hizmetlerini aktifleştirmesi halinde kelam konusu art kapı, gelen bildirimleri gözetleyip sohbetleri dışarı aktarıyor.
Kurban, berbat gayeli StrongPity uygulamasına bildirim erişimi ve erişilebilirlik hizmetleri onayı verirse, yazılım Viber, Skype, Gmail, Messenger ve Tinder üzere iletileşme uygulamalarından irtibatı sızdırabiliyor.
ESET araştırmacıları, yasal Telegram uygulamasının büsbütün fonksiyonel lakin truva atı gizlenmiş bir sürümünü dağıtan etkin bir StrongPity saldırısı tespit etti. Yetişkinlere yönelik bir manzaralı sohbet uygulaması olan Shagle’ı taklit eden geçersiz web sitesi, StrongPity’nin taşınabilir art kapı uygulamasını dağıtmak için kullanılıyor. Kelam konusu uygulamanın, StrongPity art kapı kodu ile tekrar paketlenen açık kaynak Telegram uygulamasının değiştirilmiş bir sürümü olduğu belirtiliyor. StrongPity’nin modüler olan art kapısının telefon görüşmelerini kaydetme, SMS iletileri toplama, arama günlükleri ve kişi listeleri toplama ve daha pek hayli casusluk özelliğine sahip olduğu belirtiliyor. Kurban, makûs maksatlı StrongPity uygulamasına bildirim ve erişilebilirlik onayı verirse, makûs hedefli yazılım Viber, Skype, Gmail, Messenger ve Tinder üzere iletileşme uygulamalarındaki yazışmalara sızabiliyor.
Hizmetlerine erişim sağlanması için resmi bir taşınabilir uygulaması olmayan büsbütün internet tabanlı gerçek Shagle internet sitesinin bilakis, geçersiz internet sitesi, internet tabanlı bir yayınlama hizmeti olmadan yalnızca indirilebilen bir Android uygulaması sunuyor. Truva atı içeren kelam konusu Telegram uygulamasına Google Play Store üzerinden erişim sağlanamıyor. Makus emelli kod, bu kodların fonksiyonelliği, sınıf isimleri ve APK belgesi için kullanılan sertifika, bundan evvelki hücumla birebir benzerlik taşıdığı için ESET bu taarruzun gerisinde StrongPity kümesinin olduğunu düşünüyor. Kod tahlili, art kapının modüler yapıya sahip olduğunu ve ekstra ikili modüllerin Komuta ve Denetim sunucusundan indirildiğini gösteriyor. Bu, kullanılan modüllerin sayısının ve çeşidinin, StrongPity kümesi tarafınca çalıştırıldığında akın hedefine uyacak biçimde rastgele bir vakitte değiştirilebileceği manasına gelir.
Truva atı içeren Telegram uygulamasını tahlil eden ESET araştırmacısı Lukáš Štefanko, hücum ile ilgili şunları tabir etti: “Araştırmamız sırasında uydurma internet sitesinde bulunan makus gayeli yazılım incelendiğinde, artık etkin olmadığı ve bu yazılımın art kapısını yüklemenin ve çalıştırmanın artık mümkün olmadığı ortaya çıktı. Bunun sebebi ise StrongPity’nin truva atı içeren Telegram uygulaması için API kimliği temin etmemesi. Lakin saldırgan kelam konusu makus emelli uygulamayı yenileştirmeye karar verirse bu durum her an değişebilir.”
yine paketlenen Telegram sürümü de yasal Telegram uygulamasına ilişkin birebir paket ismini kullanıyor. Paket isimleri, her bir Android uygulamasına has kimlikler ve her bir aygıtta eşsiz olmalıdır. Bu da, olası bir kurbanın aygıtında resmi Telegram uygulaması yüklü ise bu uygulamanın art kapısını içeren sürümünün birebir aygıta yüklenemeyeceği manasına gelir. Štefanko kelamlarına şu biçimde devam etti: “Bunun iki sebebi olabilir; ya saldırgan potansiyel kurbanlarla evvel bağlantı kurarak onları aygıtlarında Telegram yüklüyse kaldırmaya zorlar ya da akın, Telegram kullanmasının az olduğu ülkelere odaklanır.”
StrongPity uygulaması, tıpkı resmi sürümünün yaptığı üzere Telegram internet sitesinde yer alan standart API’lerı kullanarak çalışmış olsa da artık bu türlü çalışmıyor. Taşınabilir aygıtlara yönelik keşfedilen birinci StrongPity berbat gayeli yazılımıyla karşılaştırıldığında bu sürüm art kapı casusluk özelliklerini geliştirmiş. Kurbanın uygulamanın bildirimlere erişim sağlamasına onay vermesi ve erişilebilirlik hizmetlerini aktifleştirmesi halinde kelam konusu art kapı, gelen bildirimleri gözetleyip sohbetleri dışarı aktarıyor.