Bu Zararlı Yazılım Mobil Cihazları Gizli Proxylere Dönüştürüyor!

The McAfee Mobile Research ekibi kısa bir süre önce kısa mesaj servisini (SMS) kullanarak kullanıcıları sahte bir sesli mesaj uygulamasını indirmeye ve yüklemeye zorlayan bir oltalama (phishing) saldırısı buldu. Virüslü cihazları hedef alan bu sahte uygulama hackerlerin, kullanıcıların cihazlarını ağ vekil sunucuları olarak kullanmalarına izin vermektedir.

Uygulama yüklendiğinde, bir arka plan hizmeti, güvenli kabuk tüneli (secure shell tunnel) üzerinden şifrelenmiş bağlantı yoluyla, tüm ağ trafiğini üçüncü taraf bir sunucudan yönlendiren Socks vekil sunucusunu başlatır; bu da dahili ağlara potansiyel erişimi sağlamak için güvenlik duvarları ve ağ monitörleri gibi güvenlik mekanizmalarını atlatmayı sağlar.

TimpDoor olarak adlandırılan, ev ve şirket ağına gizlice erişim sağlayan bir arka kapı görevi gören bu kötü amaçlı yazılımlar ve bırakılan yük (payload) tamamen şifrelenir.

Ana dağıtım sunucusunda bulunan 26 kötü amaçlı APK dosyasının analizine göre, en eski TimpDoor varyantı Mart ayından beri, en sonuncusu ise Ağustos sonundan beri kullanılmaktadır. Telemetri verilere göre, bu uygulamalardan en az 5,000 cihazın etkilendiği açıklanmıştır.

Uygulamanın İşleyişi

Kullanıcılara gönderilen SMS’lerde, iki adet sesli mesajları olduğu ve bu mesajları dinleyebilmeleri için verilen linke tıklamaları gerektiği söylenir.

Kullanıcılar bağlantıya tıkladıktan sonra bir indirme butonu içeren sahte web sitesine yönlendirilir ve uygulamayı yüklemeleri istenir.

Kullanıcının sesli uygulama indirmesini isteyen sahte bir web sitesi.

Bu sahte web sitesi, uygulamayı yüklemek ve mesajları dinlemek için Android OS’de “Bilinmeyen Kaynaklar” ın nasıl devre dışı bırakılacağına ilişkin talimatları içerir. Kullanıcılar talimatları yerine getirip “Download Voice App” butonu üzerine tıkladıktan sonra VoiceApp.apk dosyası uzak bir sunucudan indirilir.

Kurulum sonrasında, “mesajları” dinlemek için Recents, Saved ve Archive gibi simgeler içeren sahte arayüz görüntülenir.

Sahte sesli mesajlar uygulamasının arayüzü.

Kullanıcılar ses dosyasını dinlemeye çalıştıklarında, uygulama aniden kapanır. Uygulamayı kaldırmayı zorlaştırmak için uygulama simgesi ana ekrandan gizlenir ve kötü amaçlı servis, kullanıcının bilgisi olmadan arka planda çalışmaya başlar.

Servis başladıktan hemen sonra zararlı yazılım, cihaz kimliği, marka, model, işletim sistemi sürümü, mobil operatör, bağlantı tipi ve genel / yerel IP adresi gibi sistem bilgilerini toplamaya başlar.

McAfee araştırmasına göre, cihaz bilgisi toplandıktan sonra TimpDoor, cihaz kimliğini göndererek, belirlenen uzak porta erişebilmek için kontrol sunucusuna güvenli kabuk (SSH) bağlantısı başlatır. Bu bağlantı noktası daha sonra, yerel bir Socks vekil sunucusu gibi davranan güvenliği ihlal edilmiş cihazla uzak port iletişimi için kullanılır.

TimpDoor, cihazların mobil arka kapılara dönüştürülmesine olanak tanıyan kötü amaçlı Android yazılımlarının son örneğidir. Bu da hackerlerin şirketlere ve şirketlerin sistemlerine büyük bir risk oluşturan “dahili ağlara şifreli erişimi” mümkün kılar.

Kendinizi bu ve benzeri tehditlerden korumak için, mobil cihazlarınızda güvenlik yazılımı kullanın ve bilinmeyen kaynaklardan uygulama yüklemeyin.

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*