Guerilla’ Adlı Kötü Amaçlı Yazılımı Neredeyse 9 Milyon Android Cihaza Yerleştirdi

The Lemon Group, bir önde gelen siber suç örgütü, ‘Guerilla’ adlı kötü amaçlı yazılımı neredeyse 9 milyon Android cihaza yerleştirdi ve çeşitli kötü niyetli faaliyetleri gerçekleştirmelerine olanak sağladı.

Burada bahsedilen yasa dışı faaliyetler arasında aşağıdakiler ön plana çıkmaktadır:

  • SMS şifrelerini ele geçirme
  • Ters proxy’ler kurma
  • WhatsApp oturumlarını ele geçirme

Son Trend Micro raporu, saldırganların altyapısının bazı unsurlarının 2016’daki Triada truva atı operasyonuyla benzerlikler gösterdiğini ortaya koydu, bu da iki olay arasında potansiyel bir bağlantı olduğunu düşündürmektedir.

Triada, düşük bütçeli Çin markaları tarafından üretilen 42 Android akıllı telefon modeline önceden yüklenmiş olarak keşfedildi ve küresel pazarda varlığıyla kullanıcılara ciddi bir güvenlik riski oluşturuyordu. Trend Micro’daki siber güvenlik araştırmacıları, Lemon Group tarafından cihazlara başlangıç kötü amaçlı yazılım yükleyicilerini yüklemek için kullanılan 50’den fazla enfekte ROM tespit ettiler. Bununla birlikte, kötü niyetli yazılımın cihazlara nasıl bulaştığına dair belirli bir yöntem açıklanmamıştır.

Trend Micro, Lemon Group’un cihazların tehlikeye girmesinin tedarik zinciri saldırıları, tehlikeli yazılımların güncellemelerle bulaşması, kötü amaçlı firmware güncellemeleri ve içeriden işbirliği gibi çeşitli yollarla gerçekleşebileceğini öne sürmektedir.

Ayrıca, Lemon Group’un kötü amaçlı olarak değiştirilmiş firmware’i, bir Android telefon satın alınarak ve “ROM görüntüsü” çıkarılarak tespit edildi. Cihazdaki değiştirilmiş sistem kütüphanesi olan ‘libandroid_runtime.so’, DEX dosyasını şifre çözerek ve çalıştırarak saldırganların ana eklentisi olan “Sloth”u etkinleştirir ve yapılandırmadaki Lemon Group etki alanı üzerinden iletişim kurar.

Guerilla’nın eklentileri Guerilla kötü amaçlı yazılımının temel eklentisi, belirli işlevler için tasarlanmış özel eklentileri yüklemekten sorumludur ve çeşitli yetenekleri kapsar.

SMS Eklentisi: Bu eklenti, WhatsApp, JingDong ve Facebook için SMS tabanlı tek kullanımlık şifreleri ele geçirir.

Proxy Eklentisi: Enfekte olan telefonlar ters proxy sunucularına dönüştürülebilir ve DoveProxy işlemi üzerinden yönlendirme yapılabilir.

Çerez Eklentisi: Facebook çerezlerini çıkarır ve bunları komuta ve kontrol (C2) sunucusuna gönderirken WhatsApp oturumlarını ele geçirir ve etkilenen cihazdan istenmeyen mesajlar dağıtır.

Splash Eklentisi: Meşru uygulamalar kullanıldığında kurbanlara rahatsız edici reklamlar gösterilir.

Sessiz Eklenti: Komuta ve kontrol (C&C) görevleri alındığında, yükleme izinlerinden sorumlu olan eklenti sessiz yüklemeleri gerçekleştirir ve ilgili uygulamaları başlatır. APK meta verilerini ve yükleme ve kaldırma gibi belirli eylemleri kullanır.

Etkilenen Ülkeler 180’den fazla ülkede cihazları kontrol eden tehdit aktörü, enfeksiyonu küresel olarak yaymıştır. İzleme göstergeleri yoluyla ortaya çıkan verilere göre, aşağıda etkilenen ilk 10 ülke belirtilmiştir:

ABD Meksika Endonezya Tayland Rusya Güney Afrika Hindistan Angola Filipinler Arjantin

Guerilla kötü amaçlı yazılımı tarafından etkilenen Android cihaz sayısı, rapor edilen sayıdan daha fazla olabilir, bu da başlangıçta tahmin edilenden daha geniş bir enfeksiyon alanını göstermektedir.

Bunun yanı sıra, çeşitli platformlarda SMS PVA hizmetleri için OTP talepleri oluşturmak için 490.000’den fazla mobil numara kullanıldığı tespit edildi.

Bu siber suç örgütünün hizmeti, 500.000’den fazla etkilenen cihazı tespit etmiş olup, geniş bir küresel varlığa sahip olduklarını göstermektedir.

Bu kötü niyetli operasyonlar, dünya genelinde birçok konumu etkileyen önemli bir etkiye sahiptir.

Bu haberde, Lemon Group adlı bir siber suç örgütünün ‘Guerilla’ adlı kötü amaçlı yazılımı kullanarak yaklaşık 9 milyon Android cihaza bulaştığı ve çeşitli kötü niyetli faaliyetlerde bulunduğu belirtiliyor. Bu faaliyetler arasında SMS şifrelerini ele geçirme, ters proxy sunucuları kurma, WhatsApp oturumlarını ele geçirme ve istenmeyen mesajlar dağıtma gibi aktiviteler yer alıyor.

Rapor, saldırganların altyapısının 2016’da ortaya çıkan Triada truva atı operasyonuyla benzerlikler gösterdiğini ve bu iki olay arasında olası bir bağlantı olduğunu ortaya koyuyor. Triada truva atı önceki yıllarda düşük bütçeli Çin markaları tarafından üretilen Android telefonlara önceden yüklenmiş olarak tespit edilmişti.

Trend Micro’nun yaptığı araştırmada, Lemon Group’un kötü amaçlı yazılım yükleyicilerini cihazlara yüklemek için 50’den fazla enfekte ROM kullandığı belirtiliyor. Ancak kötü amaçlı yazılımın cihazlara nasıl bulaştığına dair detaylar henüz açıklanmış değil.

Trend Micro, Lemon Group’un cihazların tehlikeye girmesinin tedarik zinciri saldırıları, tehlikeli yazılım güncellemeleri, kötü amaçlı firmware güncellemeleri ve içeriden işbirliği gibi çeşitli yollarla gerçekleşebileceğini öne sürüyor.

Haberde ayrıca Guerilla kötü amaçlı yazılımının farklı eklentileri ve bunların yetenekleri de belirtiliyor. Bu eklentiler arasında SMS ele geçirme, proxy sunucusu kurma, çerez çalma, istenmeyen reklamlar gösterme ve sessiz yüklemeler yapma gibi işlevler yer alıyor.

Lemon Group’un kontrolü altında 180’den fazla ülkede cihazların enfekte olduğu ifade ediliyor. Etkilenen ülkeler arasında ABD, Meksika, Endonezya, Rusya ve Hindistan gibi büyük pazarlara sahip ülkeler bulunuyor.

Bu haber, giderek artan siber tehditlerin ve siber suç örgütlerinin kullanıcılar ve cihazlar üzerindeki etkisini göstermesi açısından önemlidir. Kötü amaçlı yazılımlara ve siber saldırılara karşı önlem almak ve güvenlik bilincini artırmak, kullanıcıların ve kurumların korunmasında hayati öneme sahiptir.

About The Author

Reply