Bizi takip edin

Son Gelişmeler

Roaming Mantis adlı zararlı yazılım artık tüm dünyayı hedefliyor

Kaspersky’nin geçtiğimiz nisan ayında tespit ettiği ve Asya kıtasındaki Android tabanlı telefonları hedef alan Roaming Mantis adı verilen zararlı yazılım hedef büyüttü. Zararlı yazılım artık tüm dünyadaki kullanıcıları tehdit ediyor.

tarihinde yayımlandı

Roaming Mantis

Kaspersky Lab araştırmacıları, 16 Nisan tarihinde, DNS ele geçirme yöntemiyle Asya’daki akıllı telefonları hedef alan yeni bir Android zararlı yazılımını keşfetmişti. Dört hafta içinde hızla gelişmeye devam eden tehdit şimdi hedefine Avrupa ve Orta Doğu bölgelerini de aldı. Saldırılara iOS cihazlarına yönelik kimlik avı ve PC kripto madenciliği de eklendi. Roaming Mantis adı verilen bu saldırı grubu aslen kullanıcı bilgilerini ele geçirmek için tasarlandı. Saldırganlar ele geçirdikleri kimlik bilgileriyle cihazların tüm kontrolünü ele alıyor. Araştırmacılar, saldırıların arkasında maddi gelir elde etmeyi amaçlayan ve Korece veya Çince konuşan bir siber suçlu grubunun olduğuna inanıyor.

Elde edilen ilk bilgiler, Roaming Mantis’in arkasındaki saldırganların zayıf yönlendiricileri ele geçirmeyi hedeflediğini ve zararlı yazılımı bu yönlendiricilerin DNS ayarlarını ele geçirerek yaydıklarını gösteriyor. Oldukça basit olan bu yöntem aynı zamanda bir o kadar da etkili. Yönlendiricilerin nasıl ele geçirildiği ise henüz tam olarak bilinmiyor. DNS ele geçirildikten sonra, kullanıcılar herhangi bir websitesine girmeye çalıştığında saldırganların sunucularındaki sahte içerikleri gösteren, gerçek görünümlü URL’lere yönlendiriliyor. Bu sitelerde, “İnternette gezinme deneyiminizi iyileştirmek için Chrome’un en son sürümünü indirin.” şeklinde bir talep yer alıyor. Bağlantıya tıklandığında ‘facebook.apk’ veya ‘chrome.apk’ adlı bir Truva Atı kurulmaya başlıyor. Bu zararlı yazılımda saldırganların Android için açtığı arka kapı bulunuyor.

Roaming Mantis zararlı yazılımı cihazın “root” (kök kullanıcı) erişiminin açık olup olmadığını kontrol ederek kullanıcının yaptığı tüm iletişim ve gezinti faaliyetleri hakkında bildirim almayı talep ediyor.  Yazılım ayrıca iki faktörlü kimlik doğrulama için kimlik bilgileri gibi birçok veriyi toplayabiliyor. Bu konuya gösterilen ilgi ve zararlı kodun Güney Kore’de popüler olan mobil bankacılık ve oyun uygulamalarına yönelik referanslar içermesi, saldırıların maddi gelir amacıyla düzenlenmiş olabileceğini gösteriyor.

Hedef bölge ve özellikler genişledi

Yapılan lk araştırmalarda yaklaşık 150 hedef ortaya çıkarıldı. Bunların büyük bir kısmı Güney Kore, Bangladeş ve Japonya’daydı. Araştırmalarda ayrıca saldırganların komut ve kontrol (C2) sunucularına her gün binlerce bağlantı geldiği de belirlendi. Bu da çok daha geniş kapsamlı bir saldırıya işaret ediyor. Zararlı yazılım Korece, basitleştirilmiş Çince, Japonca ve İngilizce dillerine destek veriyordu.

Saldırı hedefinin genişlemesiyle aralarında Lehçe, Almanca, Arapça, Bulgarca ve Rusça’nın da yer aldığı toplam 27 dile destek verilmeye başlandı.  Saldırganlar ayrıca, zararlı yazılım bir iOS cihazı ile karşılaştığında kullanıcıyı Apple temalı kimlik avı sayfalarına yönlendiren bir özellik de ekledi. Saldırılara eklenen en son özellik ise bilgisayarlarda kripto madencilik yapabilen bir zararlı site oldu. Uzmanların gözlemlerine göre daha geniş kapsama sahip olan en az bir adet saldırı dalgası düzenlendi.

Kaspersky Lab Japonya Güvenlik Araştırmacısı Suguru Ishimaru, “Roaming Mantis’i Nisan ayında ilk kez raporladığımızda, saldırının etkin ve hızla değişen bir yapıda olduğunu belirtmiştik. Yeni kanıtlar hedef bölgeler arasına Avrupa, Orta Doğu ve daha fazlasının girdiğini gösteriyor. Saldırganların maddi gelir elde etmeyi amaçlayan siber suçlular olduğuna inanıyoruz. Bunların Çince veya Korece konuşan kişiler olduğuna dair bazı ipuçları da bulduk. Ardındaki motivasyon büyük olduğundan, saldırıların yakın zaman içinde azalacağını düşünmüyoruz. Router’lara zararlı yazılım bulaştırılması ve DNS’lerin ele geçirilmesi, sağlam cihaz koruma çözümlerine ve güvenli bağlantılara duyulan ihtiyacı gösteriyor.” dedi.

İnternet bağlantınıza bu zararlı yazılımın bulaşmasını engellemeniz için uzmanlar şunları tavsiye ediyor:

  • Router’ınızın kullanıcı kılavuzuna bakarak ve destek için internet servis sağlayıcınızla iletişime geçerek DNS ayarlarınızın değiştirilmediğini kontrol edin.
  • Router’ın web yönetici arayüzünün varsayılan kullanıcı adı ve parolasını değiştirin. Router’ınızın yazılımını resmi kaynağından düzenli bir şekilde güncelleyin.
  • Üçüncü taraf kaynaklardan router yazılımı asla kurmayın. Android cihazlarınız için üçüncü taraf kaynaklar kullanmaktan kaçının.
  • Websitelerinin gerçek olup olmadığını anlamak için tarayıcınızı ve adresi her zaman kontrol edin. Veri girilmesi istendiğinde https gibi işaretler arayın.
  • Cihazlarınızı bu ve bunun gibi tehditlere karşı korumak için mobil güvenlik yazılımları kullanın.
Okumaya Devam Et