Uç nokta koruma çözümlerinde lider şirket Kaspersky Lab’in analistleri, üç aydır keşfedilen Android için geliştirilmiş zararlı yazılım Obad.a Trojan’ın nasıl yayıldığını araştırmaya devam ediyor. Bu trojan’ı kullanan suçluların geliştirdikleri zararlı yazılımları yaymak için yeni bir teknik geliştirdikleri düşünülüyor. Buna sebep, mobil siber suç tarihinde ilk kez bir trojan’ın diğer suç grupları tarafından kontrol edilen “botnet”ler aracılığıyla yayılıyor olması. Obad.a adlı trojan’ın en çok BDT ülkelerinde ortaya çıktığı görülüyor. Ukrayna, Beyaz Rusya, Özbekistan ve Kazakistan’daki mobil cihazlarda da tespit edilen bu kötü amaçlı girişimlerin toplam %83'ünün Rusya’da olduğu açıklanıyor.
NASIL ÇALIŞIYOR?
Çok sayıda Obad.a’nın Trojan-SMS.AndroidOS.Opfake.a ile yayıldığı, bugüne kadar görülmüş en ilginç dağıtım modeli. Bu ikili saldırı girişimi, kullanıcılara bağlantıyı indirmelerini hatırlatan bir SMS mesajı gönderimi ile başlıyor. Kullanıcı bu bağlantıyı tıkladığında Opfake.a içeren bir dosya, akıllı telefon veya tablet bilgisayara otomatik olarak iniyor.
Bu zararlı dosya ancak kullanıcı tarafından çalıştırıldığında yüklenebiliyor; böyle bir durum olduğunda da trojan etkilenen cihazda bulunan tüm kontaklara ayrı mesajlar gönderiyor. Bu mesajlarda bulunan bağlantı tıklandığında Obad.a cihaza inmeye başlıyor.
Bunun çok iyi organize edilmiş bir sistem olduğunu rakamlar da ortaya koyuyor. Rus bir mobil şebeke sağlayıcı, yalnızca beş saat içinde bu bağlantıları içeren 600 adet mesaj tespit ettiklerini raporladı; bu da toplu bir dağıtıma işaret ediyor. Kaspersky Lab, zararlı yazılımın birçok durumda daha önceden etkilenmiş cihazları kullanarak yayıldıklarını gözlemlediklerini açıklıyor.
ÖDENMEMİŞ BORÇLARI BAHANE EDİYORLAR
Oldukça karmaşık bir yapısı olan bu trojan, mobil botnet’lerin dışında aynı zamanda istenmeyen mesajlar aracılığıyla da yayılıyor. Bu, Obad.a trojan’ın hızlı yayılmasını sağlayan önemli bir araç olarak ifade ediliyor. Kullanıcıları ödenmemiş ‘borçları’ konusunda uyaran bir mesaj ile Obad.a’yı mobil cihazlarına otomatik olarak indirecek bir bağlantıyı takip etmeleri için kurbanlarını tuzağına düşürüyor. Ancak, trojan’ın yüklenebilmesi için yine kullanıcıların indirilen bu dosyayı çalıştırmış olması gerekiyor.
Backdoor.AndroidOS.Obad.a'nın yayılmasını sağlayan diğer bir araç da sahte uygulama mağazaları… Bunlar, Google Play sayfalarının içeriğini kopyalayarak, güvenli bağlantıları zararlı olanlarla değiştiriyor. Güvenli siteler kırılıp kullanıcılar tehlikeli olanlarına yönlendirildiğinde, Obad.a özellikle mobil cihaz kullanıcılarını hedef alıyor. Potansiyel bir kurban siteye ev bilgisayarında bağlanıyorsa hiçbir şey olmuyor, ancak hangi işletim sistemine sahip olursa olsun bu yöntemde akıllı telefon ve tablet, yani Android kullanıcıları risk altında.
ANDROİD 4.3’TE AÇIK KAPATILDI
Kaspersky Lab antivirüs uzmanlarından Roman Unuchek, “Üç ayda 12 farklı Backdoor.AndroidOS.Obad.a sürümü tespit ettik. Bunların hepsi aynı işleve ve yüksek seviye kod gizleme özelliğine sahip; her biri Android işletim sisteminin açıklarından birisini kullanarak ‘cihaz yöneticisi’ yetkilerine sahip oluyor ve silinmeleri çok daha zor hale geliyor” açıklamasını yapıyor. Bu durumu tespit eder etmez Google’ı bilgilendirdiklerini açıklayan Unuchek, “Bu açığın Android 4.3’te kapatılmasını sağladık. Ancak çok az sayıda yeni akıllı telefon ve tablet bilgisayarlar bu yeni sürümle çalışıyor ve bir önceki sürümlerle çalışan daha eski model cihazlar maalesef hala tehdit altında. Henüz fark edilmemiş zayıf noktaları kullanan Obad.a'nın, Android için geliştirilen diğer trojan’larla karşılaştırıldığında daha çok Windows özelliği taşıdığını görüyoruz” diye ekliyor.
