Mobil cihazları etkileyen GriftHorse adlı Android trojanının, Türkiye’nin de aralarında bulunduğu 70 ülkeden yaklaşık 10 milyon cihaza bulaştığı belirlendi.
Zimperium şirketinin yaptığı araştırmaya göre, zararlı yazılım bulaştığı cihazlarda kullanıcıların bilgisi olmaksızın ücretli abonelikler satın alıyor.
Trojan,Android işletim sistemine sahip cihazlar için uygulama yüklenen resmi Google Play Store ve üçüncü taraf uygulama mağazalarındaki yaklaşık 200 uygulama üzerinden cihazlara bulaştı.
Google Play Store’da teyit edilen uygulamaları gören yaklaşık 10 milyon kullanıcı söz konusu zararlı yazılım içeren uygulamaları indirdi. GriftHorse trojan operasyonu 2020 kasım ayından geçtiğimiz nisan ayına kadar sürdü.
MİLYONLARCA OTOMATİK ÖDEME DEVAM EDEBİLİR
Google durumu sonradan fark edip uygulamaları mağazadan kaldırsa da üçüncü taraf mağazalar üzerinden uygulamalar kalmaya devam etti.
Tahminlere göre fark edilmediği takdirde uygulamalarda kayıtlı mevcut yinelenen milyonlarca ödeme devam ettirilebilir.
Uygulamalara sızan trojan ayrıca, cep telefon numarasına da erişim sağladı. Bu erişim aracılığıyla SMS göndererek kullanıcıların istemeden premium hizmetlere abone olmasına da yol açtı.
Yaklaşık iki aydır mobil ortamlarda dolaşan zararlı Android yazılımı, 60 bin kullanıcıyı etkiledi. ‘FluBot’ olarak adlandırılan botnetten mağdur olan kullanıcıların ise yüzde 97’si İspanya’da yaşıyor.
Yılın başından itibaren güvenlik firması ThreatFabric tarafından izlenen FluBot’un çalışma prensibi, siber güvenlik firması PRODAFT tarafından yayımlanan bir raporla ortaya çıkarıldı.
FLUBOT NASIL ÇALIŞIYOR?
PRODAFT raporunda ortaya konulan bilgilere göre söz konusu Trojen, yasal uygulamaların sahte giriş ekranlarını oluşturarak, cihaz sahiplerinden e-bankacılık ve ödeme kartı bilgilerini toplamaya çalışıyor.
Çoğu zararlı yazılımda bulunabilen bu özelliklerin yanında FluBot’un bu derece hızlı yayılmasındaki bir diğer tehlikeli özelliği ise kurbanın adres defterini komuta ve kontrol sunucularında toplamasını sağlayan yazılım operatörü. Böylelikle kurbanların cihazlarından telefon numaralarını toplayabilen FluBot, diğer kişilere SMS spamı gönderebiliyor.
Gönderilen SMS içeriklerinde genellikle kişilerin tıklaması için çeşitli mesajlar barındıran bağlantılar bulunuyor. Söz konusu bağlantılar da kullanıcıları FluBot çetesinin oluşturduğu sahte web sitelerine yönlendiriyor.
Sahte web sitelerinde mağdurlardan zararlı yazılım barındıran APK dosyaları indirilmesi isteniyor. Eğer kurbanlar bu dosyaları indirirse FluBot cihaza bulaşmış oluyor.
Eğer APK dosyalarının talep ettiği izinlerin tümüne onay verilirse FluBot, cihazın üstündeki bütün kontrolü ele geçiriyor. Flubot böylelikle bildirimlerinizi engelleyebiliyor, varsayılan SMS uygulamanız olabiliyor, kişi listenizi çalıyor en önemlisi de girdiğiniz herhangi yasal bir site üzerinde ‘kimlik avı’ sitelerini göstererek bilgilerinizi ele geçiriyor.
İSPANYA NÜFUSUNUN YÜZDE 25’İNİN TELEFON NUMARALARINI TOPLADI
PRODAFT’tan yapılan açıklamada, FluBot’un komuta kontrol panelinin izlenebildiğini ve bu sayede bulaştığı cihazların sayısını belirleyebildikleri aktarıldı.
60 bin virüslü cihazın bulunduğunu söyleyen şirket için en endişe verici nokta FluBot’un bu denli hızlı yayılması.
Şirket tarafından yapılan açıklamada, “Şu anda, virüslü cihazlardan toplanan 11 milyondan fazla telefon numarası var ve bu, İspanya’daki toplam nüfusun yüzde 25’ini oluşturuyor” ifadeleri kullanıldı.
FluBot’a müdehale edilemezse muhtemelen 6 ay içinde İspanya’daki tüm telefon numaralarını toplayabilir.
PRODAFT’ta güvenlik araştırmacısı olan Ahmet Bilal Can, “durumu İspanyol kolluk kuvvetlerine bildirdiklerini” açıkladı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Hizbullahla bağları olduğu öne sürülen bir APT grubu, zararlı yazılım deposunu dünya çapındaki şirketlere sızmak ve değerli bilgilere ulaşmak için uzaktan erişimli bir Trojanın (RAT) yeni versiyonuyla güçlendirdi.
ClearSky araştırma ekibi tarafından yayınlanan yeni bir raporda 2020’nin başından beri halka dönük en az 250 web sunucu hacklendiği söylendi. Hackleme, kötü niyetli aktörler tarafından istihbarat elde etmek ve şirketlerin veritabanını çalmak için yapıldı.
Organize edilmiş izinsiz girişler ABD, İngiltere, Mısır, Ürdün, Lübnan, Suudi Arabistan, İsrail ve Filistin’de yer alan birçok şirketi vurdu. Kurbanların büyük çoğunluğunu telekom işletmeleri (Etisalat, Mobily, Vodafone Mısır), internet servis sağlayıcıları (SaudiNet, TE Data) ve altyapı ile yer sağlayıcıları (Secured Servers LLC, iomart) oluşturuyor.
İlk olarak 2015’te belgelenen Volatile Cedar adlı tehdit grubu çok sayıda hedefe çeşitli saldırı teknikleri kullanarak gizlice nüfuz etmesiyle biliniyor. Bunlar arasında Explosive kod adlı özel yapım bir zararlı yazılım implantı var.
‘VOLATİLE CEDAR’ HİZBULLAHIN SİBER BİRİMİ Mİ?
Daha önce 2015’teki bir siber casusluk girişimiyle bağlantılı olarak Volatile Cedar’ın Lübnan kökenli bir grup ve hatta Hizbullahın siber birimi olduğundan şüpheleniliyordu. Bu tehdit grubu askeri teçhizatları, telekom şirketlerini, medya kuruluşlarını ve üniversiteleri hedef almıştı.
2020 saldırıları da çok farklı değildi. ClearSky tarafından açığa çıkarılan hack faaliyeti, Explosive RAT’in varyantları olan 2015 ve 2020 kod örtüşmelerine bağlı olarak Hizbullah’a atfedilen operasyonlarla eşleşti. Bunlar ‘1-day’ olarak bilinen zaaflardan istifade edilerek yamasız Oracle ve Atlas web sunucularındaki kurbanların ağlarına yerleştirilmişti.
WEB SHELL KULLANDILAR
İlk dayanağı elde etmek için hücum vektörü olarak sunuculardaki 3 zafiyeti (CVE-2019-3396, CVE-2019-11581 ve CVE-2012-3152) kullanan saldırganlar, bir web shell ve bir JSP dosya tarayıcısı yerleştirdiler. Her ikisi de ağ boyunca yanlamasına ilerlemek, ilave malware eklemek ve Explosive RAT’i indirmek için kullanılıyordu. Tüm bunlar klavye vuruşlarını kaydetme, ekran görüntülerini yakalama ve gelişigüzel komutlar çalıştırma gibi imkanlar sağlıyordu.
ClearSky araştırmacılarına göre, “Web shell, hücuma uğramış web sunucu üzerinde çeşitli casusluk operasyonları yürütmek için kullanılıyor. Bunlar arasında sonraki saldırılar için olası mal varlıklarının yerini belirleme, dosya yerleştirme, sunucu konfigürasyonu ve daha fazlası var.” Ama bu, görevleri yerine getirmek ve bir komuta-kontrol (C2) sunucusuna sonuçları iletmek için yükseltilmiş ayrıcalıklar temin etmeden önce kullanılmıyor.
ClearSky’ın raporuna göre gizliliği ihlal edilmiş makine ve halihazırda şifrelenmiş C2 sunucu arasındaki bağlantılarla birlikte, Explosive RAT’in ilk görülmesinden bu yana beş yıl içerisinde hata ayıklamaya karşı implanta son değişikliğinde (V4) yeni özellikler eklendi.
HALKA DÖNÜK SAVUNMASIZ WEB SUNUCULARI HEDEF ALINDI
Kötü niyetli aktörlerin göze batmamaya çalışması şaşırtıcı değil; ancak Volatile Cedar’ın 2015’ten beri hiç dikkat çekmeden saklanmayı başarması, geri kalan zamanda fark edilmemek için uzun dönemler boyunca operasyonları durdurmuş olabileceğine işaret ediyor.
ClearSky araştırmacılarının belirttiğine göre, grubun web shell’i başlıca hack aracı olarak kullanması, araştırmacıları “isnat etme anlamında çıkmaza” sürüklemeyi amaçlıyor olabilir.
Araştırmacılar son olarak şunu ekledi: “Cedar Lübnan odağını belirgin bir şekilde değiştirdi. İlk olarak, bilgisayarlara başlangıç erişim noktası olarak saldırdılar. Daha sonra kurbanların ağlarına doğru ilerlediler. Daha da ileri giderek halka dönük savunmasız web sunucularını hedef aldılar.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Google Play’de bulunan bazı aplikasyonlar üzerinden cep telefonuna bulaşan ve harekete duyarlı olan bir Trojan ortaya çıktı.
Son dönemde özellikle mobil cihazlara yönelik zararlı yazılımların sayısında artış gözleniyor. Trend Micro araştırmacıları Google Play’de geniş kullanıcı kitlelerine yayılma olasılığı bulunan iki adet zararlı bankacılık yazılımı keşfettiler.
Görünüşte online bankacılık kullananlar için birçok avantaj sağlayan Currency Converter ve BatterySaverMobi olarak adlandırılan bu iki uygulama kısa sürede Google Play’den kaldırıldı.
Pil kullanımında tasarruf sağlamaya yardımcı olacağı belirtilen BatterySaverMobi isimli uygulama kaldırılmadan önce 5 bin defa indirilmişti. 73 kullanıcıdan 4,5 gibi yüksek bir puan alan uygulama hakkında yapılan yorumların ise çoğunun anonim ve gerçeği yansıtmadığı görüldü.
Para birimlerini çevirmeye yardımcı olan Currency Converter ve BatterySaverMobi uygulamaları üzerinden saldırganlar kullanıcının cihazına ve sensörlerine erişerek burada saklanıyor. Kullanıcılar cihazlarını hareket ettirdiğinde, hareket sensöründen gelen veriyle birlikte trojan aktive oluyor.
Sahte Sistem Güncellemesi İle Bulaşıyor
Saldırganlar bu sensörler aracılığıyla cihazları takip ediyor ve hareketi belirlediği anda Anubis isimli bankacılık Trojan’ını Android Uygulama Paketi yoluyla ve sahte sistem güncelleme mesajıyla birlikte yüklüyor. Ancak herhangi bir hareket algılanmazsa uygulama da Trojan’ı aktive etmiyor.
Uygulamanın içerisinde yer alan bir tuş kaydedici, basılan tuşları kaydederken zararlı yazılım da gizlice ekran görüntüsü alarak bankacılık bilgilerini elde etmek için iki farklı yoldan yararlanıyor. Diğer bir deyişle banka şifrenizi, kimlik bilgilerinizi tuşladığınızda bu bilgileri kaydediyor.
Bunun yanında saldırgan, Trojan aracılığıyla cihazdaki kişi listesine, konum bilgisine erişebilirken konuşmaları kaydedebiliyor, SMS gönderebiliyor, arama yapabiliyor ve harici depolamaya da sızabiliyor.
Fidye Yazılım Olarak da Çalışabilir
Saldırganlar bu sayede kötü amaçlı yazılımı diğer cihazlara ve kullanıcılara spam mesajları ve sahte aramalarla bulaştırabiliyorlar. Araştırmacılar Anubis’in fidye yazılım olarak da çalışabileceğini söylüyorlar.
Trend Micro Akdeniz Bölgesi Teknik Ekip Müdürü Mehmet Gülyurt Anubis’in aktif olan son sürümünün şimdiden 93 ülkeye yayıldığını ve 377 finansal uygulamayla bağlantılı hesap bilgilerine sızmaya çalıştığını belirtiyor. “Mobil güvenlikteki açıklar birçok kullanıcı için oldukça ciddi zararlara yol açabilir, çünkü cihazlar çok fazla bilgiyi depoluyor ve birçok farklı hesaba da bağlılar. Kullanıcıların bankacılık işlemleri ile ilgili bilgi talep eden uygulamalara karşı çok dikkatli olmaları gerekiyor. Ayrıca bu uygulamaların doğrudan kendi bankalarıyla bağlantılı olup olmadığından da emin olmalılar.” dedi.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
