Mobil CasuslukSizden GelenlerZararlı Yazılımlar

Google Play’de kod enjekte etme yeteneğine sahip bir zararlı yazılım

2 dakikada okunur

Arka planda kötü niyetli görevleri yerine getirmek için cihazın güvenlik ayarlarını devre dışı bırakma özelliğine sahip ve kaldırılmadan önce en az 50.000 kez indirilen bulmaca oyunu olan Colourblock’un arkasında gizlenen, Google Play Store’da oyun uygulamaları olarak dağıtılan yeni bir Android zararlı yazılımı tespit edildi.

Dvmap adlı Android’e bulaşan zararlı yazılım, üçüncü parti bir kaynaktan başka kötü amaçlı bir uygulama yüklemek için cihazın güvenlik ayarlarını devre dışı bırakır ve root erişimi kazanmak ayrıca da kalıcı olmak için aygıt sistem çalışma zamanı kütüphanelerine kötü amaçlı kod enjekte eder.

Zararlı yazılımın yapımcıları, Google Play Store’un güvenlik kontrollerini atlatmak için ilginç bir yöntem kullanmışlar. 2017 yılının Mart ayında mağazaya temiz bir uygulama yükledikten sonra temiz olan uygulamayı zararlı yazılım sürümüyle güncellediler.

Genellikle aynı gün Google Play Store’a temiz bir sürüm ile tekrardan güncelleme yüklüyorlar. Bu söylediğimizi 18 Nisan – 15 Mayıs tarihleri arasında en az 5 kez yapmışlar.

Dvmap Malware Nasıl Çalışıyor?

Dvmap Trojan, Android’in 32-bit ve 64-bit sürümleri üzerinde çalışıyor ve bir kez kurulduktan sonra aygıtta kök erişimini (root) elde etmek için uğraşıyor. Bunun yanında Çince içeren bazı modülleri sisteme kurmaya çalışıyor.

Zararlı modül sistem hakkına ulaşmak için, hangi Android sürümü çalışmaktaysa ona göre sistemin çalışma zamanı kütüphanelerinin üzerine enjekte oluyor.

Yukarıda bahsedilen kötü amaçlı uygulamanın yüklenmesini tamamlamak için, sistem hakları olan truva atı, üçüncü parti uygulama mağazalarından uygulama yüklenmesine izin vermek için “Uygulama Doğrulama“ özelliğini kapatıyor ve sistem ayarını değiştiriyor.

Ayrıca “com.qualcmm.timeservices” app Aygıt Yöneticisi haklarını kullanıcıyla herhangi bir etkileşime girmeden, yalnızca komutları çalıştırarak verebilir, bu da Device Administrator haklarını elde etmek için alışılmadık bir yöntem.

Bu kötü niyetli 3.parti uygulama, virüslü aygıtı saldırganın komuta-kontrol (C&C) sunucusuna bağlamaktan sorumludur ve aygıtın tam kontrolünü saldırgana verir. Bununla birlikte, şu ana kadar virüs bulaşmış Android cihazları tarafından alınan herhangi bir komutun kimse farkında değil ve bu nedenle ne tür dosyaların yürütüleceği de belirsiz.

 

Gönderen: Murat Yeşiltepe
Bunlar ilgini çekebilir
Siber SaldırılarVeri SızıntılarıZararlı Yazılımlar

REvil Çetesi NY Hukuk Firmasından 42 Milyon Dolar Fidye Talep Etti! Trump da Tehdit Ediliyor

1 dakikada okunur
REvil fidye yazılımı çetesi birkaç gün önce Lady Gaga’nın yasal belgelerini yayınladı REvil (Sodinokibi) fidye yazılımının arkasındaki suç grubu, New York merkezli…
Siber SaldırılarZararlı Yazılımlar

PyXie RAT Birçok Endüstriyi Tehdit Ediyor

1 dakikada okunur
Araştırmacılar, çeşitli endüstrileri hedefleyen kampanyalarda kullanılan PyXie adlı Python tabanlı yeni bir RAT (Remote Access Trojan) keşfetti. RAT (Remote Access Trojan), bulaştığı…
Güvenlik AçıklarıSizden Gelenler

WhatsApp'tan Gönderilen Bir GIF ile Android Telefonunuz Hacklenebilir

2 dakikada okunur
WhatsApp‘ta kullanıcı sohbet oturumlarını, dosyaları ve mesajları tehlikeye sokmak için kötü amaçlı GIF‘ten yararlanan yeni bir güvenlik açığı keşfedildi. CVE-2019-11932 olarak adlandırılan güvenlik…
Siber güvenlik dünyasındaki gelişmeleri takip edin.
Verinizi gizli tutuyoruz ve sadece bu servisi imkanlı kılan üçüncü partiler ile paylaşıyoruz. Gizlilik Politikamızı okuyun.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.