12 Haziran 2017 06:59

Google Play’de, Android cihazları ele geçiren oyun bulundu

Dvmap adlı Truva atı, Android işletim sistemli akıllı telefonunuzun kontrolünü ele geçirebiliyor.

Paylaş

Google Play Store üzerinden dağıtılan yeni ve farklı bir Truva atı tespit edildi. Dvmap adlı Truva atı, Android işletim sistemli akıllı telefonunuzda yalnızca yönetici erişimi haklarını elde etmekle kalmıyor, ayrıca sistem kütüphanesine zararlı bir kod ekleyerek cihazın kontrolünü ele geçirebiliyor. Truva atı başarılı olursa, yönetici erişimini iptal ederek tespit edilmekten de kurtulabiliyor. Kaspersky Lab tarafından bildirilip Google Play Store’dan silinmesi sağlanan Truva atı, 2017’nin Mart ayından bu yana 50.000’den fazla kez indirildi.

Kod aşılama kabiliyetinin ortaya çıkışı, mobil zararlı yazılımlar alanında yeni ve oldukça tehlikeli bir gelişme. Bu yöntem, yönetici erişimi olmadan bile zararlı modülleri harekete geçirmek için kullanılabiliyor. Bu yüzden de zararlı yazılım bulaştıktan sonra kurulan ve yönetici erişimi tespit etme özelliğine sahip herhangi bir güvenlik veya bankacılık uygulaması bu zararlı yazılımın varlığını fark edemiyor.

Ancak, sistem kütüphaneleri üzerinde değişiklik yapmak, geri tepebilecek riskli bir işlem olarak biliniyor. Araştırmacıların gözlemlerine göre, Dvmap zararlı yazılımı her hareketini kaydedip herhangi bir talimat almasa da komuta ve kontrol sunucusuna bildiriyor. Bu da zararlı yazılımın henüz tam olarak hazır olmadığını ya da uygulamaya konulmadığını gösteriyor.

Dvmap, Google Play Store üzerinden bir oyun olarak dağıtılmış. Zararlı yazılımı yaratanlar, Google Play'in güvenlik kontrollerini devre dışı bırakabilmek için 2017 Mart ayının sonunda temiz bir uygulama yüklemiş. Daha sonrasında kısa bir süreliğine bu uygulamayı zararlı bir versiyon ile güncelleyip, ardından bir başka temiz versiyonu kullanıma sunmuşlar. Dört haftalık süreç içerisinde bunu en az beş kez yaptıkları anlaşılıyor.

Dvmap Truva atı, kurban olarak seçtiği cihaza kendini iki aşamada yüklüyor. Başlangıç evresinde zararlı yazılım cihazın yönetici haklarını elde etmeye çalışıyor. Başarılı olursa, bazıları Çince yorumlar içeren çeşitli araçları cihaza yüklüyor. Bu modüllerden birisi, Truva atını komuta ve kontrol sunucusuna bağlayan “com.qualcmm.timeservices” adlı bir uygulama. Ancak zararlı yazılım, araştırma süreci boyunca herhangi bir komut almamış.

İstilanın ikinci ve ana evresinde Truva atı bir “başlat” dosyası yürütüyor, yüklü olan Android versiyonunu kontrol ediyor ve kodunu hangi kütüphaneye aşılayacağına karar veriyor. Bir sonraki adımda ise halihazırda var olan kodu zararlı kod ile değiştiriyor ve bunun sonucunda bazen cihazın sistemi çökebiliyor.

Yeni yamalanmış olan sistem kütüphaneleri ‘Uygulamaları Doğrula’ özelliğini kapatabilen zararlı bir modülü harekete geçiriyor. Ardından sadece Google Play Store’dan değil, herhangi bir kaynaktan uygulamalar yükleyebilmek için kullanılan ‘Bilinmeyen kaynaklar’ seçeneğini açıyor. Bu uygulamalar zararlı veya istenmeyen reklam uygulamaları olabiliyor.

Kaspersky Lab Kıdemli Zararlı Yazılım Analisti Roman Unuchek, fark edilmesini zorlaştırmak üzere kendisini sistem kütüphanelerine aşılayan Dvmap Truva atının, Android zararlı yazılımları alanında çok tehlikeli yeni bir gelişmeye işaret ettiğine dikkat çekiyor. Unuchek, “Tehlikeyi cihaza girmesinden önce tespit edip engelleyebilecek bir güvenliğe sahip olmayan kullanıcıları ileride büyük sıkıntılar bekliyor. Zararlı yazılımı erken bir aşamada ortaya çıkarttığımıza inanıyoruz. Analizlerimize göre zararlı modüller her hareketlerini saldırganlara bildiriyor ve bazı teknikler söz konusu cihazları bozabiliyor. Bu yüzden büyük ve tehlikeli bir saldırıyı engellemek için zamanı iyi değerlendirmemiz şart” diyor.

DVMAP BULAŞMIŞSA NE YAPILMALI?

Dvmap’ın cihazlarına bulaşmış olabileceğinden endişelenen kullanıcıların tüm verilerini yedekleyerek cihazlarını fabrika ayarlarına çekmeleri tavsiye ediliyor. Kaspersky Lab, buna ek olarak tüm kullanıcılara güvenilir bir güvenlik çözümü yüklemelerini, yükleyecekleri uygulamaların güvenilir geliştiriciler tarafından yaratıldığından emin olmalarını, işletim sistemini ve uygulamaları daima güncel tutmalarını ve şüpheli ya da kaynağı belli olmayan herhangi bir şey indirmemelerini tavsiye ediyor. (HABER MERKEZİ)

Yeni yılda Evrensel aboneliği hediye edin
ÖNCEKİ HABER

AİHM ihraç edilen öğretmene 'OHAL Komisyonu'na başvur' dedi

SONRAKİ HABER

Aracını mültecilerin üzerine süren şahıs serbest bırakıldı

Sefer Selvi Karikatürleri
Evrensel Gazetesi Birinci Sayfa