Güvenlik araştırmacıları, dünya çapında yaklaşık 5 milyon Android cihaza bulaşmış olan ve gün geçtikçe artan bir malware kampanyası keşfettiler.
“System Wi-Fi service” olarak gizlenen kötü amaçlı yazılım RottenSys, tedarik zinciri boyunca kendini Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung ve GIONEE tarafından üretilen milyonlarca yeni akıllı telefona önceden yüklenmiş olarak piyasaya sürüldü.
Tüm bu etkilenen cihazlar, Hangzhou merkezli bir cep telefonu dağıtıcısı olan Tian Pai‘den gönderildi ancak araştırmacılar, şirketin bu kampanya ile bağlantısı olup olmadığından emin değil.
Bu kampanyayı ortaya çıkaran Check Point Mobil Güvenlik Ekibi‘ne göre, RottenSys güvenli bir Wi-Fi servisi sunmayan gelişmiş bir kötü amaçlı yazılımdır, ancak kötü amaçlı aktivitelerini etkinleştirmek için hemen hemen tüm Android izinlerini alıyor.
“Bulgularımıza göre, RottenSys kötü amaçlı yazılım Eylül 2016’da yayılmaya başladı. 12 Mart 2018’e kadar, 4.965.460 cihaz RottenSys tarafından enfekte oldu” dediler.
Algılanmamak için, sahte Sistem Wi-Fi servisi uygulaması, başlangıçta kötü niyetli bir bileşen olmadan gelir ve hemen herhangi bir kötü amaçlı eylem gerçekleştirmez.
Bunun yerine, RottenSys gerçek zararlı kodları içeren gerekli bileşenlerin listesini almak için kendi kontrol sunucuları (C&C) ile iletişim kurmak için tasarlanmış.
RottenSys daha sonra, kullanıcı etkileşimi gerektirmeyen “DOWNLOAD_WITHOUT_NOTIFICATION” iznini kullanarak, her bir bileşeni buna göre indirir ve kurar.
Hackerlar, son 10 gün içinde 115.000 dolar kazandı
Araştırmacılar, RottenSys son derece agresif bir reklam ağı olduğunu söylüyorlar. Yalnızca son 10 günde, agresif reklamların normal reklam endüstrisine kıyasla 13.250,756 görüntülenme ve 548.822 reklam tıklaması gerçekleştirdiğini belirtti.
CheckPoint araştırmacılarına göre, kötü amaçlı yazılım, yazarlarına son 10 günde sadece 115.000 dolardan fazla para kazandırdı, ancak saldırganların sadece reklamları göstermekten çok daha zararlı bir şey yapmak istediklerini düşünüyorlar.
RottenSys, kontrol sunucusundan yeni bileşenleri indirmek ve kurmak için tasarlandığından, saldırganlar cihazlar üzerinde kolayca silahlandırabilir veya milyonlarca enfekte cihaz üzerinde tam kontrol sağlayabiliyorlar.
Araştırmacılar ayrıca, RottenSys saldırganlarının bu virüslü aygıtları milyonlarca kitleyi büyük bir botnet ağına dönüştürmeye başladığına dair bazı kanıtlar da ortaya koydular.
Bazı virüslü aygıtlarda, ek uygulamaların ve UI otomasyonunun sessizce yüklenmesi de dahil olmak üzere, saldırganlara daha kapsamlı yetenekler kazandıran yeni bir RottenSys bileşeni yüklemesi bulundu.
Araştırmacılar, ilginç bir şekilde, botnet’in kontrol mekanizmasının bir kısmında Lua scriptleri bulunduğunu keşfettiler. Saldırganların, müdahale etmeden mevcut kötü amaçlı yazılımın dağıtım kanallarını yeniden kullanabileceklerini ve yakında milyonlarca cihaz üzerinde kontrolü ele geçirebileceklerini söylediler.
Geçtiğimiz yıl, Samsung, LG, Xiaomi, Asus, Nexus, Oppo ve Lenovo‘ya ait akıllı telefonların kullanıcılarına casusluk yapmak üzere tasarlanmış iki adet önceden yüklenmiş kötü amaçlı yazılım (Loki Trojan ve SLocker ransomware) bulaşmıştı.
Bu Android zararlı yazılımı nasıl tespit edil kaldırabilirsiniz?
Cihazınızın bu kötü amaçlı yazılımdan etkilenip etkilenmediğini kontrol etmek için Android sistem ayarları – Uygulama Yöneticisi’ne gidin ve ardından aşağıdaki olası malware uygulama adlarına bakın:
- com.android.yellowcalendarz (每日黄历)
- com.changmi.launcher (畅米桌面)
- com.android.services.securewifi (系统WIFI服务)
- com.system.service.zdsgt
Yukarıdaki uygulamalardan herhangi biri yüklü uygulamaların listesinde yer alıyorsa, onu kaldırın.
