5 milyon Android cihazda yüklü gelen zararlı yazılım

5 milyon Android cihazda yüklü gelen zararlı yazılım
Mart 16 21:23 2018 Yazıyı Yazdır

Güvenlik araştırmacıları, dünya çapında yaklaşık 5 milyon Android cihaza bulaşmış olan ve gün geçtikçe artan bir malware kampanyası keşfettiler.

System Wi-Fi service” olarak gizlenen kötü amaçlı yazılım RottenSys, tedarik zinciri boyunca kendini Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung ve GIONEE tarafından üretilen milyonlarca yeni akıllı telefona önceden yüklenmiş olarak piyasaya sürüldü.

Tüm bu etkilenen cihazlar, Hangzhou merkezli bir cep telefonu dağıtıcısı olan Tian Pai‘den gönderildi ancak araştırmacılar, şirketin bu kampanya ile bağlantısı olup olmadığından emin değil.

Bu kampanyayı ortaya çıkaran Check Point Mobil Güvenlik Ekibi‘ne göre, RottenSys güvenli bir Wi-Fi servisi sunmayan gelişmiş bir kötü amaçlı yazılımdır, ancak kötü amaçlı aktivitelerini etkinleştirmek için hemen hemen tüm Android izinlerini alıyor.
Bulgularımıza göre, RottenSys kötü amaçlı yazılım Eylül 2016’da yayılmaya başladı. 12 Mart 2018’e kadar, 4.965.460 cihaz RottenSys tarafından enfekte oldu” dediler.

Algılanmamak için, sahte Sistem Wi-Fi servisi uygulaması, başlangıçta kötü niyetli bir bileşen olmadan gelir ve hemen herhangi bir kötü amaçlı eylem gerçekleştirmez.

Bunun yerine, RottenSys gerçek zararlı kodları içeren gerekli bileşenlerin listesini almak için kendi kontrol sunucuları (C&C) ile iletişim kurmak için tasarlanmış.

RottenSys daha sonra, kullanıcı etkileşimi gerektirmeyen “DOWNLOAD_WITHOUT_NOTIFICATION” iznini kullanarak, her bir bileşeni buna göre indirir ve kurar.

Hackerlar, son 10 gün içinde 115.000 dolar kazandı

Araştırmacılar, RottenSys son derece agresif bir reklam ağı olduğunu söylüyorlar. Yalnızca son 10 günde, agresif reklamların normal reklam endüstrisine kıyasla 13.250,756 görüntülenme ve 548.822 reklam tıklaması gerçekleştirdiğini belirtti.

CheckPoint araştırmacılarına göre, kötü amaçlı yazılım, yazarlarına son 10 günde sadece 115.000 dolardan fazla para kazandırdı, ancak saldırganların sadece reklamları göstermekten çok daha zararlı bir şey yapmak istediklerini düşünüyorlar.

RottenSys, kontrol sunucusundan yeni bileşenleri indirmek ve kurmak için tasarlandığından, saldırganlar cihazlar üzerinde kolayca silahlandırabilir veya milyonlarca enfekte cihaz üzerinde tam kontrol sağlayabiliyorlar.

Araştırmacılar ayrıca, RottenSys saldırganlarının bu virüslü aygıtları milyonlarca kitleyi büyük bir botnet ağına dönüştürmeye başladığına dair bazı kanıtlar da ortaya koydular.

Bazı virüslü aygıtlarda, ek uygulamaların ve UI otomasyonunun sessizce yüklenmesi de dahil olmak üzere, saldırganlara daha kapsamlı yetenekler kazandıran yeni bir RottenSys bileşeni yüklemesi bulundu.

Araştırmacılar, ilginç bir şekilde, botnet’in kontrol mekanizmasının bir kısmında Lua scriptleri bulunduğunu keşfettiler. Saldırganların, müdahale etmeden mevcut kötü amaçlı yazılımın dağıtım kanallarını yeniden kullanabileceklerini ve yakında milyonlarca cihaz üzerinde kontrolü ele geçirebileceklerini söylediler.

Geçtiğimiz yıl, Samsung, LG, Xiaomi, Asus, Nexus, Oppo ve Lenovo‘ya ait akıllı telefonların kullanıcılarına casusluk yapmak üzere tasarlanmış iki adet önceden yüklenmiş kötü amaçlı yazılım (Loki Trojan ve SLocker ransomware) bulaşmıştı.

Bu Android zararlı yazılımı nasıl tespit edil kaldırabilirsiniz?

Cihazınızın bu kötü amaçlı yazılımdan etkilenip etkilenmediğini kontrol etmek için Android sistem ayarları – Uygulama Yöneticisi’ne gidin ve ardından aşağıdaki olası malware uygulama adlarına bakın:

  • com.android.yellowcalendarz (每日黄历)
  • com.changmi.launcher (畅米桌面)
  • com.android.services.securewifi (系统WIFI服务)
  • com.system.service.zdsgt

Yukarıdaki uygulamalardan herhangi biri yüklü uygulamaların listesinde yer alıyorsa, onu kaldırın.

daha fazla yazı

Yazar Hakkında

Furkan Sayım
Furkan Sayım

Siber Güvenlik Araştırmacısı olmaya çalışan bir Developer

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.