Dikkat edin! Android telefonunuzda aşağıda belirtilen dosya yöneticilerinden ve fotoğraf uygulamalarından herhangi biri varsa ki resmi Google Store mağazasından indirilse bile saldırıya uğramış ve izlenmişsinizdir.
Bu yeni tespit edilen kötü amaçlı Android uygulamaları, siber casusluk saldırılarında uzmanlaşmış sofistike bir saldırı grubu olan Sidewinder APT’ye bağlı olduğuna inanılan Camero , FileCrypt ve callCam’dir .
Trend Micro’daki siber güvenlik araştırmacılarına göre, bu uygulamalar geçen yıl Mart ayından bu yana Android’deki kritik bir güvenlik açığından yararlanıyor.
Araştırmacılar, “Bu uygulamaların, uygulamalardan birine ait sertifika bilgilerine dayanarak Mart 2019’dan beri aktif olduğunu tahmin ediyoruz . ” dedi .
CVE-2019-2215 olarak izlenen güvenlik açığı, güvenlik açığı bulunan bir aygıtın tam kök güvenliğinin aşılmasına olanak tanıyan ve ayrı bir tarayıcı oluşturma kusuru ile birleştirildiğinde uzaktan yararlanılabilen yerel bir ayrıcalık yükseltme sorunudur.
Bu Casus Yazılım Gizlice Android Telefonunuzu Rootlar
Trend Micro’ya göre, FileCrypt Manager ve Camero damlalık görevi görür ve daha sonra callCam uygulamasını indiren ve ayrıcalık yükseltme güvenlik açıklarından yararlanılarak veya erişilebilirlik özelliğini kötüye kullanarak yüklemeye çalışan bir DEX dosyası indirmek için bir uzak komut ve kontrol sunucusuna bağlanır.
Araştırmacılar, “Bunların hepsi kullanıcı farkındalığı veya müdahalesi olmadan yapılır. Tespitten kaçınmak için gizleme, veri şifreleme ve dinamik kod çağırma gibi birçok teknik kullanır.”
Bir kez kurulduktan sonra, callCam simgesini menüden gizler, güvenliği ihlal edilen cihazdan aşağıdaki bilgileri toplar ve arka plandaki saldırganın C&C sunucusuna gönderir:
- Konum
- Batarya durumu
- Cihazdaki dosyalar
- Yüklü uygulama listesi
- Cihaz bilgisi
- Sensör bilgisi
- Kamera bilgileri
- Ekran görüntüsü
- Hesap
- WiFi bilgileri
- WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail ve Chrome’dan veriler.
CVE-2019-2215’in yanı sıra, kötü amaçlı uygulamalar da MediaTek-SU sürücüsünde kök ayrıcalığı elde etmek ve çok çeşitli Android cihazlarında kalıcı kalmak için ayrı bir güvenlik açığından yararlanmaya çalışır.
Komuta ve kontrol sunucularının yer aldığı örtüşmeye dayanarak, araştırmacılar kampanyayı, geçmişte Pakistan Ordusu ile bağlantılı örgütleri hedefleyen bir Hint casusluk grubu olduğuna inanılan SideWinder’e bağladılar.
Android Telefon Kötü Amaçlı Yazılımlardan Nasıl Korunur?
Google şu an yukarıda belirtilen tüm kötü amaçlı uygulamaları Play Store’dan kaldırmıştır, ancak Google sistemleri kötü uygulamaları resmi mağazanın dışında tutmak için yeterli olmadığından, uygulamaları indirmeye çok dikkat etmelisiniz.
Cihazınıza bu kötü amaçlı yazılım bulaşıp bulaşmadığını kontrol etmek için Android sistem ayarları → Uygulama Yöneticisi’ne gidin, listelenen paket adlarını arayın ve kaldırın.
Cihazınızı çoğu siber tehdide karşı korumak için aşağıdakiler gibi basit ama etkili önlemler almanız önerilir:
- Cihazları ve uygulamaları güncel tutmak,
- Bilinmeyen kaynaklardan uygulama indirmelerinden kaçının,
- Uygulamalar tarafından istenen izinlere her zaman dikkat edin,
- Verileri sık sık yedekleyin
- Bu kötü amaçlı yazılım ve benzeri tehditlere karşı koruyan iyi bir antivirüs uygulaması yükleyin.
Bu tür uygulamalar tarafından hedeflenmenizi önlemek için, Google Play Store’dan indirirken bile her zaman yalnızca güvenilir markalara bağlı kalmaya çalışın. Ayrıca, her zaman uygulamayı indiren diğer kullanıcılar tarafından bırakılan uygulama incelemelerine bakın ve herhangi bir uygulamayı yüklemeden önce uygulama izinlerini doğrulayın ve yalnızca uygulamanın amacı ile ilgili izinleri verin.