Popüler Android Uygulamalarını Taklit Eden Zararlı Bir Yazılım Dolaşıyor!

Android platformunda gezinen ve Google, X (Eski adıyla Twitter), Snapchat, Netflix, Instagram gibi popüler uygulamaların logolarını taklit eden bir zararlı uygulamaya rastlandı. Bu zararlı uygulama, ele geçirilen tüm cihazlardan kullanıcı bilgilerini toplamanın yanı sıra, kullanıcı bilgilerini kötü amaçlar için de kullanıyor.

Kullanıcıları, bu uygulamayı kurmaya ikna ettikten sonra (ücretsiz Pro versiyon gibi kandırmacalarla), kurulum ardından kendini ilgili popüler uygulama gibi gösteriyor.

Zararlı uygulamanın dağıtım vektörleri henüz kesin olarak belirlenmemiş olmasına rağmen, kurulum ardından eski Android sürümlerinde bulunan ve cihazın her türlü erişilebilirlik ayarlarını kontrol altına alma yetkisi olan uygulama cihaz yönetim API’sine erişim talep etmekte.

Bu erişim haklarını elde ettikten sonra uygulama, tamamen uzaktan gelecek komutları uygulayabilir duruma geliyor ve malware kurulumu ve veri sızdırma gibi eylemleri kullanıcının haberi olmadan yürütebiliyor.

İşlevsel olarak bu yazılım, uzaktaki bir emir ve komuta (C2) sunucusuna bilgi verip emir bekliyor. Gelen emirler içinde kontak listesi, SMS mesajları, arama kayıtları, kurulu uygulamalara erişim, SMS gönderme, web tarayıcısından phishing sayfalarına girme, kamerayı kullanma ve el feneri yönetimi fonksiyonları bulunmakta. Bu yapı, daha önce tespit edilmiş olan ve özellikle Android platformlarda bankacılık şifrelerini ele geçirmeye odaklı Coper gibi trojanların süreçlerini belirlemiş gibi görünmekte.

Phishing web sayfaları,  GitHub, Facebook, Instagram, Microsoft, Netflix, Ebay, Snapchat, ProtonMail, WordPress ve Yahoo gibi popüler sayfaların giriş sayfalarını taklit ediyor.

Bu zararlı yazılım ile ilgili olarak, en son Broadcom tarafından satın alınan Symantec’in mühendisleri, bir dağıtım vektörü olan WhatsApp linklerine özellikle dikkat edilmesi gerektiği konusunda tüm kullanıcıları uyarıyor.

SMS’leri ele geçirme ya da SMS yoluyla zararlı içerik dağıtımı için kullanılan Smishing (SMS-Phishing) yöntemini de sıklıkla kullanan bu yazılıma dair bir hareketlilik, geçen hafta Finlandiya’nın Milli Siber Güvenlik Merkezince de tespit edilmiş.

Finlandiya özelinde TOAD (Telephone Oriented Attack Delivery) denen, SMS vasıtasıyla, hayali bir borcun acilen ödenmesine dair uyarı ve ödeme için iletişime geçilmesi gereken telefon numarası gönderimi şeklinde aksiyon alındığı görülmüş. Kurban, ilgili numarayı aradığında, karşı taraftan gelen mesajın kötü niyetli olduğunu, ancak kurumun bu tür saldırıları engellemek için müşterilerine özel ücretsiz 1 yıllık Anti Virüs yazılımı sunduğunu öğreniyor. Bunun için karşıdan SMS ile gelen linki tıklayan kurban, Anti Virüs adı altında zararlı içeriği telefonuna indirip kuruyor. Ücretsiz kullanım onayı adı altında gönderilen ikinci bir SMS ve link ile de telefondaki bankacılık uygulamasının kontrolü tamamen saldırganlara geçiyor, takiben de asıl müşteriden habersiz para transferleri gerçekleşiyor.

Bu zararlı yazılımın kodları Finlandiya Milli Siber Güvenlik Merkezi (NCSC-FI) tarafından tanımlanamamış olsa da, aksiyon sıralaması göz önüne alındığında daha önce NCC Group tarafından tespit edilen Vultr adlı zararlı yazılım ile bire bir örtüştüğü öne sürülüyor.

Bu saldırının çeşitli varyantları olan Tambir ve Dwphon adlı zararlı yazılımlar da, Çin menşeli ürünlerde ve öncelikli olarak Rusya bölgesine özel olacak şekilde geçen aylarda tespit edildiği söyleniyor.

Kaspersky’nin yaptığı araştırmaya göre, Android kullanıcıları, geçen seneye oranla %32 oranında daha fazla saldırıya uğramakta ve en çok zarar gören ülkeler arasında Türkiye, Suudi Arabistan, İspanya, İsviçre ve Hindistan bulunuyor. Araştırmada ayrıca PC tarafından gelen saldırılarda azalma görüldüğü, ancak bu azalmanın mobil tarafta ziyadesi ile telafi edildiğine değiniliyor.

Mobil cihazlarda her şeyi anlık olarak çözme isteği, saldırganların en çok odaklandığı noktalardan bir tanesidir. Günlük hayatımızı kolaylaştırması için tasarlanmış bu cihazlardan gelen her türlü bilgiye anlık olarak pozitif tepki vermemiz, saldırganların da işlerini oldukça kolaylaştırıyor. Dolayısıyla mobil ortamlar için tasarlanmış olan Anti Malware ve Anti Virüs çözümlerini iyice araştırmanız ve konusunda yetkin bir üreticinin ürünlerini kullanmanız şiddetle tavsiye edilir.

 

Sarp Tecimer, Mayıs 2024

Siber Güvenlik Danışmanı

 

About The Author

Reply