Güvenlik Önerileri
Sahte Android Güncellemelerindeki Casus Yazılım Tehlikesine Dikkat!
Güvenlik uzmanları, enfekte ettiği cihazlardan hassas bilgileri sızdırma konusunda gelişmiş yeni bir trojan keşfetti. Android cihazları hedef alan trojan, ses kayıtlarından telefon arama dökümlerine kadar her türlü bilgiyi sızdırma özelliğine sahip.
Android uygulamaları arasında “copycat” adı verilen ve kendilerini meşru uygulamaları taklit ederek saklayan çok sayıda trojan mevcut. Yeni tespit edilen tehdit ise farklı bir yol izleyerek “yazılım güncellemesi” şeklinde kendini gizliyor.
Güvenlik uzmanları, casus yazılımın Firebase mesajlaşma hizmeti aracılığı ile cihazların ekranları kapalıyken güncelleme bildirisi gösterdiğini, “Güncelleme aranıyor…” şeklinde beliren mesajın işletim sistemi ile bağlantılı olmadığını, bir casus yazılımı temsil ettiğini kaydediyor.
Casus yazılımın yüklenmesi halinde, Android cihaz Firebase kumanda ve kontrol (C2) sunucusu ile temasa geçiyor ve cihazdaki WhatsApp mesajlaşmalarından batarya ile depolama bilgilerine kadar her türlü veriye ulaşılabiliyor. Siber korsanların kontrolündeki sunucudan verilen komut ile istenen tüm veriler şifreli bir .zip dosyası halinde sızdırılıyor…
İleri seviye bilgi hırsızlığı yeteneği bulunan trojan, mobil web tarayıcısındaki arama geçmişini, arama motoru kayıtlarını ve mesajları çalabiliyor; ses kaydı yapabiliyor, arama gerçekleştirmek ya da fotoğraf çekmek gibi çeşitli işlemler için bile kullanılabiliyor. Dahası, cihazın konum bilgilerini takip edebiliyor, belli uzantılara sahip dosyalar için arama yapabiliyor, cihazın not panosundaki verileri de çalabiliyor.
Casus yazılımın veri çalma özellikleri, alınan SMS, telefon rehberine eklenen isim veya Play Store’dan yüklenen bir uygulama gibi çeşitli işlemler yapıldığında devreye giriyor.
Oldukça gelişmiş olan trojan, casusluk faaliyetlerini saklamak adına C2 sunucusuna gönderdiği .zip dosyasını işlemin tamamlanmasının ardından siliyor. Ek olarak, bantgenişliği kullanımını düşük göstermek ve tespit edilme riskini azaltmak için harici depolamada gerçek fotoğraf ve videoların yerine sahte ikon fotoğrafları yükleyerek göz boyuyor.
Trojanın yüklenmesini sağlayan “Sistem Güncellemesi”, Play Store tarafından indirilmese de üçüncü parti uygulamalarının kötü amaçlı yazılım yaymak konusunda ne kadar tehditkar olduğu gözler önüne seriliyor. Güvenlik uzmanları, henüz adı konmamış casusluk saldırısının arkasındakileri ve amaçlarını henüz tespit edebilmiş değil.
