Mobil canavarlar nelerdir, nerede bulunurlar – dördüncü bölüm

Kasım 12, 2018

Mobil tehditler çalışmamızın dördüncü bölümünde kötü amaçlı yazılımların en karmaşık ve tehlikeli olanlarını, yalnızca Android özelliklerini istismar etmekle kalmayıp aynı zamanda sisteminizi kendi amaçları doğrultusunda ayarlayabilen ve birden çok kötü amaçlı işlevi bir arada gerçekleştirebilen yazılımları ele alacağız.

RAT’ler – uzaktan erişim sağlayan Truva Atları

RAT (Fare) yazılımları, isimleriyle müsemma yazılımlardır. Uzaktan yönetim araçları (RAT’ler) ağdaki uzak bir cihaza bağlanmak için kullanılabilir. Bu araçlar, yalnızca ekran içeriğini görmekle kalmaz, aynı zamanda uzaktaki giriş aygıtlarından (bilgisayarda klavye/fare; akıllı telefonda dokunmatik ekran) komut vererek bütün kontrolü ele geçirebilir.

RAT’ler ilk başta çeşitli ayarları ve uygulamaları uzaktan yönetmeye yardımcı olmak üzere iyi niyetle geliştirilen araçlardı. Ne de olsa kullanıcıya telefonda açıklamaya çalışmak yerine doğru onay kutularını ve ayarları bizzat seçmek hem teknik destek personeli hem de kullanıcı için çok daha kolaydır.

Fakat siber suçluların ellerinde RAT’ler korkunç birer silaha dönüşür: Akıllı telefonunuza başka birinin uzaktan erişimine olanak sağlayan bir Truva Atı yüklemek, evinizin anahtarını bir yabancıya vermek gibidir. RAT’lerin kötü amaçlı kullanımı o kadar yaygındır ki bu kısaltma artık “uzaktan erişim sağlayan Truva Atı” anlamında kullanılmaya başlanmıştır.

Bir RAT aracılığıyla cihazınıza bağlanan saldırganlar, tüm şifre ve PIN’lerinizi görebilir, bankacılık uygulamalarına giriş yapıp paranızı transfer edebilir ve sizi mobil hesabınızdaki veya kredi kartınızdaki bakiyeyi sessizce tüketen, istenmeyen hizmetlere abone edebilir. Hatta arkadaşlarınızdan sizin adınıza borç almak için e-posta, sosyal ağ ve anlık mesajlaşma hesaplarınızı çalmak dahil olmak üzere istedikleri her şeyi yapabilirler. Tüm bunların yanı sıra telefonunuzdaki tüm fotoğrafları kopyalayıp içlerinden özel olanlarla size şantaj da yapabilirler.

RAT’ler genellikle casusluk için kullanılır. Bu tür kötü amaçlı yazılımlar, kıskanç eşlerin birbirini gözetlemesine ve daha da önemlisi ticari sırların çalınmasına olanak sağlar. Örneğin bu yılın bahar aylarında tespit edilen AndroRAT yazılımı, gizlice akıllı telefon kamerasıyla fotoğraf çekebilir ve telefon konuşmaları dahil olmak üzere ses kaydı yapabilir. Ayrıca coğrafi konumu baz alarak Wi-Fi şifrelerini de çalabilir. Bu yazılım, tüm görüşmelerin gizliliğini tehdit eder ve ofis ağına sızmayı, çocuk oyuncağı haline getirir.

Kök erişimi sağlayan Truva Atları

Android dahil olmak üzere bazı işletim sistemlerinde “kök erişimi”, sistem klasörlerinde ve dosyalarında değişiklik yapmaya izin veren süper kullanıcı haklarının bir başka adıdır. Olağan kullanıcı görevleri için böyle bir erişim tamamen gereksizdir ve varsayılan ayar olarak kapatılmıştır. Fakat bazı ileri seviyedeki teknoloji meraklıları, işletim sistemini kişiselleştirmek için kök erişimine sahip olmak ister. Bunu yapmadan önce neden bir kez daha düşünmeniz gerektiğini öğrenmek için Android cihazınızı root etme: Avantajları, dezavantajları ve zorlukları adlı yazımıza bakabilirsiniz.

Kök erişimi sağlayan Truva Atları adındaki bazı kötü amaçlı programlar, işletim sistemindeki güvenlik açıklarını kullanarak kök ayrıcalıklarına ulaşabilir. Süper kullanıcı haklarına sahip olmak, siber suçluların akıllı telefonunuzu kendi amaçları doğrultusunda yapılandırmalarına olanak sağlar. Örneğin suçlular, cihazı tam ekran reklamlar göstermeye zorlayabilir. Ya da hiçbir bildirim göndermeden arka planda kötü amaçlı yazılımlar veya reklam yazılımları kurabilirler.

Kötü amaçlı kök erişimi yazılımlarının sıklıkla tercih ettiği bir başka hile ise akıllı telefonda yüklü uygulamaları gizlice silip yerlerine kimlik avı yazılımlarını veya diğer kötü amaçlı yazılımları yüklemektir. Aynı zamanda süper kullanıcı hakları, cihazınızdan kötü amaçlı yazılımları silmenizi engellemek için de kullanılabilir. Kök erişimi Truva Atlarının günümüzün en tehlikeli mobil tehdit türü sayılması boşuna değildir.

Modüler Truva Atları

Elinden her iş gelen modüler Truva Atları, duruma göre aynı anda veya seçime bağlı olarak birden fazla kötü amaçlı eylem gerçekleştirebilir. Bu tür Truva Atlarının en çarpıcı örneklerinden biri 2017 yılının sonlarında tespit edilen Loapi‘dir. Bu yazılım, mağdurun cihazına sızar sızmaz yönetici hakları talep ederek derhal kendi güvenliğini sağlama alır. Üstelik hayır cevabını da kabul etmez; reddedildiği takdirde iletişim penceresi, akıllı telefonun kullanılmasını engelleyecek biçimde tekrar tekrar açılmaya devam eder. Erişim izni verildiğinde ise Loapi’yi cihazdan kaldırmak imkansız hale gelir.

Ardından Truva Atı beş modülden birini başlatır. Kullanıcının kötü amaçlı işlemleri fark etmesine engel olacak şekilde gizlenerek reklam görüntüleyebilir, bağlantıları takip ederek kullanıcıyı ücretli hizmetlere abone edebilir, uzak sunucunun komutuyla DDoS saldırıları gerçekleştirebilir ve SMS mesajlarını siber suçlulara iletebilir.

Truva Atı bu önemli görevlerle meşgul olmadığı boş zamanlarında, çoğunlukla akıllı telefon prize veya harici bir bataryaya bağlıyken, el altından kripto para madenciliği de yapar. Madencilik, enerjiyi ve kaynakları yiyip bitiren karmaşık bir bilgi işlem sürecidir. Bu yüzden pilin şarj olması çok uzun sürer. Bunun telefonlar için ölümcül sonuçları olabilir: Uzmanlarımız, birkaç günlük Loapi aktivitesinin bile aşırı ısınma sebebiyle akıllı telefon pilini bozmaya yeterli olduğunu ilk elden keşfettiler.

Kötü amaçlı Android yazılımlarının en tehlikelilerinden korunma

Gördüğünüz gibi, RAT’lerin, kök erişimi Truva Atlarının ve kötü amaçlı modüler yazılımların doğurduğu tehlikeler son derece ciddidir. Fakat bunlara karşı önlem alabilirsiniz. İşte uygulayabileceğiniz birkaç basit kural:

  • Öncelikle, bilinmeyen kaynaklardan uygulama yüklenmesini engelleyin. Bu seçenek Android’de varsayılan ayar olarak engellenmiştir ve öyle kalması gerekir. Bu her şeyin ilacı değildir ama mobil Truva Atları ile bağlantılı sorunların çoğunu çözer.
  • Uygulamaların korsan sürümlerini indirerek masraftan kaçınmaya çalışmayın. Korsan sürümlerin çoğu virüslüdür.
  • Olmayacak vaatlerde bulunan bağlantılara tıklamayın. Whatsapp’ın bedava uçak bileti vermesi gibi vaatler çoğunlukla yalnızca sizin kişisel bilgilerinizi çalma girişimleridir ve üstüne bir de akıllı telefonunuza kötü amaçlı yazılımlar yüklenir. Aynısı arkadaşlarınızdan veya yabancılardan gelen “Bu senin fotoğrafın mı?” tarzındaki mesajları da içeren kimlik avı saldırıları için de geçerlidir.
  • Android güncellemelerini ve cihazınızda kurulu olan uygulamaların güncellemelerini ihmal etmeyin. Güncellemeler, saldırganların akıllı telefonlarınıza sızabileceği açıkları kapatır.
  • Uygulamaların hangi izinleri istediklerini kontrol edin; kişisel bilgilere ve Android’de potansiyel olarak tehlikeli olabilecek işlevlere erişim iznini reddetmekten çekinmeyin. Böyle istekler reddedildiğinde genellikle kötü bir şey olmaz.
  • Akıllı telefonunuza iyi bir virüsten koruma programı yükleyin. Örneğin Kaspersky Internet Security for Android, yalnızca Truva Atlarını bulup kaldırmaz aynı zamanda kötü amaçlı yazılım ve mobil abonelik içeren web sitelerini de engeller.