GREF Grubu ve Aktif Kampanyalar
Siber güvenlik alanında faaliyet gösteren ESET şirketi, Çin kökenli ve Uygurlara yönelik saldırılarıyla tanınan GREF adlı APT grubunun yürüttüğü yeni ve dikkat çekici kampanyaları gün yüzüne çıkardı. Bu saldırılar, özellikle Android kullanıcılarını hedef alarak sahte Signal ve Telegram uygulamalarıyla kullanıcıları kandırmaya yönelik planlar içeriyor. Sonuç olarak, binlerce kullanıcının bu aldatmacaya inandığı ve kötü amaçlı uygulamaları cihazlarına yüklediği saptandı.
Saldırganların Metodolojisi ve Dağıtım Kanalları
ESET araştırmacıları, söz konusu sahte Signal ve Telegram uygulamalarının arkasındaki tehdit aktörlerinin Çin bağlantılı olduğunu ve bu saldırıların iki farklı aktif kampanya şeklinde sürdürüldüğünü belirledi. Bu kampanyalar, Temmuz 2020 ve Temmuz 2022’den itibaren aktif hale gelmiş olup, Android platformundaki BadBazaar casusluk kodunu içeren kötü amaçlı uygulamaları Google Play mağazası, Samsung Galaxy Store ve çeşitli güvenilir görünen web siteleri aracılığıyla dağıtıyor. Bu uygulamalar arasında özellikle FlyGram ve Signal Plus Messenger dikkat çekiyor.
Tehdit Aktörlerinin Çalışma Prensibi ve Amaçları
Bu kötü amaçlı uygulamalar, resmi Signal ve Telegram uygulamalarını taklit ederek, arka planda casusluk faaliyetleri yürüten zararlı kodlar içeriyor. Signal Plus Messenger adını kullanan uygulama, ilk kez Signal iletişimlerini gizli bir şekilde gözetlemek ve saldırganların kontrolü altına almak amacıyla tasarlandı. Kullanıcılar farkında olmadan bu uygulamaları indirdiklerinde, cihaz bilgileri, kişi listeleri, çağrı kayıtları ve yüklü uygulama detayları saldırganlara sızdırılıyor. Ayrıca, kötü amaçlı yazılım, Signal mesajlarını gizlice takip edip, saldırganların kontrolündeki cihazlara bağlanmayı da başarıyor.
Uluslararası Etki ve Tespitler
ESET telemetri verilerine göre, bu kampanyalar Avustralya, Brezilya, Danimarka, Demokratik Kongo Cumhuriyeti, Almanya, Hong Kong, Macaristan, Litvanya, Hollanda, Polonya, Portekiz, Singapur, İspanya, Ukrayna, ABD ve Yemen gibi ülkelerdeki Android kullanıcılarını hedef alıyor. Ayrıca, Google Play mağazasındaki FlyGram uygulamasına ait bir bağlantı, Uygur Telegram gruplarında paylaşılmış durumda. Bu kötü amaçlı yazılım ailesi, daha önce de Uygur ve diğer Türk etnik azınlıklara karşı kullanılmış ve çeşitli ülkelerde aktif olmuştu.
Güvenlik ve Önlemler
ESET, Signal Plus Messenger’ın en yeni sürümünü zararlı olarak tanımladı ve durumu Google ile derhal paylaştı. Bu uyarıların ardından, uygulama Google Play mağazasından kaldırıldı ve kullanıcıların zararlı uygulamalardan korunması için güncel güvenlik önlemlerini almaları öneriliyor. Siber güvenlik uzmanları, bu tarz sahte uygulamalara karşı dikkatli olunması ve resmi uygulama mağazalarından indirme yapılması gerektiğini vurguluyor.
