Google Play’de kod enjekte etme yeteneğine sahip bir zararlı yazılım

Google Play’de kod enjekte etme yeteneğine sahip bir zararlı yazılım
Haziran 09 20:51 2017 Yazıyı Yazdır

Arka planda kötü niyetli görevleri yerine getirmek için cihazın güvenlik ayarlarını devre dışı bırakma özelliğine sahip ve kaldırılmadan önce en az 50.000 kez indirilen bulmaca oyunu olan Colourblock’un arkasında gizlenen, Google Play Store’da oyun uygulamaları olarak dağıtılan yeni bir Android zararlı yazılımı tespit edildi.

Dvmap adlı Android’e bulaşan zararlı yazılım, üçüncü parti bir kaynaktan başka kötü amaçlı bir uygulama yüklemek için cihazın güvenlik ayarlarını devre dışı bırakır ve root erişimi kazanmak ayrıca da kalıcı olmak için aygıt sistem çalışma zamanı kütüphanelerine kötü amaçlı kod enjekte eder.

Zararlı yazılımın yapımcıları, Google Play Store’un güvenlik kontrollerini atlatmak için ilginç bir yöntem kullanmışlar. 2017 yılının Mart ayında mağazaya temiz bir uygulama yükledikten sonra temiz olan uygulamayı zararlı yazılım sürümüyle güncellediler.

Genellikle aynı gün Google Play Store’a temiz bir sürüm ile tekrardan güncelleme yüklüyorlar. Bu söylediğimizi 18 Nisan – 15 Mayıs tarihleri arasında en az 5 kez yapmışlar.

Dvmap Malware Nasıl Çalışıyor?

Dvmap Trojan, Android’in 32-bit ve 64-bit sürümleri üzerinde çalışıyor ve bir kez kurulduktan sonra aygıtta kök erişimini (root) elde etmek için uğraşıyor. Bunun yanında Çince içeren bazı modülleri sisteme kurmaya çalışıyor.

Zararlı modül sistem hakkına ulaşmak için, hangi Android sürümü çalışmaktaysa ona göre sistemin çalışma zamanı kütüphanelerinin üzerine enjekte oluyor.

Yukarıda bahsedilen kötü amaçlı uygulamanın yüklenmesini tamamlamak için, sistem hakları olan truva atı, üçüncü parti uygulama mağazalarından uygulama yüklenmesine izin vermek için “Uygulama Doğrulama“ özelliğini kapatıyor ve sistem ayarını değiştiriyor.

Ayrıca “com.qualcmm.timeservices” app Aygıt Yöneticisi haklarını kullanıcıyla herhangi bir etkileşime girmeden, yalnızca komutları çalıştırarak verebilir, bu da Device Administrator haklarını elde etmek için alışılmadık bir yöntem.

Bu kötü niyetli 3.parti uygulama, virüslü aygıtı saldırganın komuta-kontrol (C&C) sunucusuna bağlamaktan sorumludur ve aygıtın tam kontrolünü saldırgana verir. Bununla birlikte, şu ana kadar virüs bulaşmış Android cihazları tarafından alınan herhangi bir komutun kimse farkında değil ve bu nedenle ne tür dosyaların yürütüleceği de belirsiz.

 

Gönderen: Murat Yeşiltepe
daha fazla yazı

Yazar Hakkında

Konuk Yazar
Konuk Yazar

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.