Roaming Mantis, Wi-Fi yönlendiriciler aracılığıyla akıllı telefonlara bulaşıyor

Mayıs 22, 2018

Bir süre önce uzmanlarımız Roaming Mantis adını verdikleri kötü amaçlı bir yazılım hakkında bir araştırma yaptı. O zamanlarda, bu kötü amaçlı yazılımın mağdurları daha çok Japonya, Kore, Çin, Hindistan ve Bangladeş’teki kullanıcılar olduğu için bunu diğer bölgeler bağlamında tartışmamıştık; o zamanlar yerel bir tehdit gibi görünüyordu.

Fakat rapor yayınlandıktan sonraki bir ay içinde, Roaming Mantis tam yirmi dört dil daha öğrendi ve tüm dünyada hızla yayılmaya devam ediyor.

Bu kötü amaçlı yazılım, korumasız yönlendiricileri kullanarak Android tabanlı akıllı telefonları ve tabletleri ele geçiriyor. Sonra da iOS işletim sistemine sahip cihazları bir kimlik avı sitesine yönlendirerek masaüstü ve dizüstü bilgisayarlarda CoinHive kripto madencilik betiğini devreye sokuyor. Bunu DNS hırsızlığı yöntemiyle yaptığı için de hedefteki kullanıcıların bir şeylerin ters gittiğini anlaması kolay olmuyor.

DNS hırsızlığı nedir?

Tarayıcınızın adres çubuğuna bir site adı yazdığınızda tarayıcı aslında o siteye bir talep göndermez. Daha doğrusu gönderemez; çünkü İnternet’te işler sayı kümelerinden oluşan IP adresleri üzerinden yürütülür, sözcüklerden oluşan alan adları ise insanların daha kolay hatırlaması ve yazması içindir.

Siz bir URL yazdığınızda tarayıcınız bir DNS sunucusuna (DNS Etki Alanı Adı Sistemidir) bir talep gönderir, sunucu da insanlar için pratik olan bu ismi ilgili web sitesinin IP adresine dönüştürür. Tarayıcı, o siteyi bulurken ve açarken işte bu IP adresini kullanır.

DNS hırsızlığı, tarayıcıyı kandırarak etki alan adını doğru IP adresine dönüştürmediği halde böyle olduğunu düşünmesini sağlamanın bir yoludur. IP adresi yanlış olmasına rağmen, tarayıcının adres çubuğunda kullanıcı tarafından girilen doğru URL yazdığı için ortada şüpheli bir durum olmaz.

DNS hırsızlığının birçok yöntemi var ama Roaming Mantis’in yaratıcıları bunlar arasındaki belki de en basit ve en etkili yöntemi seçmiş: korunmasız yönlendiricilerin ayarlarını ele geçirerek onları kendi sahte DNS sunucularını kullanmaya zorluyorlar. Bu durumda bu yönlendiriciye bağlı bir aygıtta tarayıcı adres çubuğuna ne yazılmış olursa olsun, kullanıcı kötü amaçlı bir siteye yönlendiriliyor.

Android Üzerindeki Roaming Mantis

Kötü amaçlı bir siteye yönlendirildikten sonra kullanıcıdan tarayıcısını güncellemesi isteniyor. Bu sayede chrome.apk adı verilen kötü amaçlı bir uygulama indirilmiş oluyor (bunun facebook.apk adı verilen diğer bir versiyonu da vardı).

Kötü amaçlı yazılım, kurulum süreci sırasında hesap bilgilerine erişme, SMS mesajları gönderme ve alma, sesli aramaları işleme, ses kaydetme, dosyalara erişme, kendi penceresini diğerlerinin üstünde gösterme gibi haklar da dahil birtakım izinler istiyor. Google Chrome gibi güvenilir bir uygulama için bu liste pek şüphe çekmez — kullanıcı bu “tarayıcı güncellemesini” meşru bulursa, listeyi okumaya zahmet bile etmeden izinleri rahatlıkla verir.

Uygulama kurulduktan sonra, kötü amaçlı yazılım hesap listesine erişme hakkını kullanarak o aygıtta hangi Google hesabının kullanıldığını bulur. Daha sonra, kullanıcıya hesabıyla ilgili bir sorun olduğunu söyleyerek hesaba tekrar giriş yapmasını isteyen bir mesaj gösterilir (bu mesaj diğer bütün açık pencerelerin üstünde görünür ve kötü amaçlı yazılımın istediği bir diğer izindir). Sonra da bir sayfa açılarak kullanıcıdan adını ve doğum tarihini girmesi istenir.

Roaming Mantis’in yaratıcıları bu verilerle birlikte iki öğeli kimlik doğrulama için gereken tek seferlik şifrelere erişimi sağlayacak SMS izinlerini de kullanarak Google hesaplarını çalar.

Roaming Mantis: Dünya turu, iOS’a geçiş, ve madencilik

Başlangıçta, Roaming Mantis dört dilde mesaj görüntüleyebiliyordu: İngilizce, Korece, Çince ve Japonca. Bu kötü amaçlı yazılımın yaratıcıları yolun bir noktasında, yazılımın bildiği dilleri çoğaltarak yirmi dört dil daha eklemeye karar verdi:

  • Arapça
  • Ermenice
  • Bulgarca
  • Bengalce
  • Çekçe
  • Gürcüce
  • Almanca
  • İbranice
  • Hintçe
  • Endonezya dili
  • İtalyanca
  • Malay dili
  • Lehçe
  • Portekizce
  • Rusça
  • Sırp-Hırvat dili
  • İspanyolca
  • Filipin dili
  • Tay dili
  • Türkçe
  • Ukraynaca
  • Vietnam dili

Yaratıcıları bir taraftan bunlarla uğraşırken diğer taraftan da Roaming Mantis’in yeteneklerini geliştirerek ona iOS ile çalışan cihazlara saldırmayı öğretti. Bunun için Android saldırılarından daha farklı bir senaryo kullanılıyordu. Roaming Mantis, iOS’ta uygulamayı indirme aşamasını atlar; bunun yerine, kötü amaçlı sitede bir kimlik avı sayfası görüntülenerek kullanıcıdan hemen App Store’a tekrar giriş yapması istenir. İnandırıcılığı arttırmak için adres çubuğunda güven veren security.apple.com URL’s çıkar:

Siber suçlular hırsızlıklarını Apple ID kimlik bilgileriyle sınırlamaz; bu bilgiler verildikten hemen sonra kullanıcıdan banka kartının numarası istenir:

Uzmanlarımızın ortaya çıkardığı üçüncü yenilik ise masaüstü ve dizüstü bilgisayarlar ile ilgilidir. Roaming Mantis bu aygıtlarda CoinHive madencilik betiğini işletir ve böylece kripto paralar madenden çıkarılarak doğrudan kötü amaçlı yazılımı yapanların ceplerine indirilir. Kurbanın bilgisayar işlemcisi maksimum seviyede dolduğundan sistem yavaşlayarak çok fazla enerji tüketmeye zorlanır.

Roaming Mantis hakkında daha detaylı bilgiyi orijinal raporda bulabilirsiniz ve ayrıca kötü amaçlı yazılım hakkında güncel bilgi içeren yeni bir Securelist yazısı da bulunmaktadır.

Roaming Mantis’ten nasıl korunabilirsiniz?

  • Sadece bilgisayarlar ve dizüstü bilgisayarlar değil, akıllı telefonlar ve tabletler dahil bütün cihazlarda antivirüs koruması kullanın.
  • Cihazlarınızda yüklü olan bütün yazılımları düzenli olarak güncelleyin.
  • Android cihazlarda, bilinmeyen kaynaklardan uygulama yükleme özelliğini devre dışı bırakın. Bu seçenek Ayarlar -> Güvenlik -> Bilinmeyen kaynaklarsekmesindedir.
  • Yönlendiricinizin yazılımını mümkün olduğu kadar sık güncelleyin (bunun nasıl yapılacağı yönlendiricinin kılavuzunda yazar). Şüpheli sitelerden indirilen resmi olmayan yazılımları kullanmayın.
  • Yönlendiricideki varsayılan yönetici parolasını mutlaka değiştirin.

Cihazınıza Roaming Mantis bulaşırsa ne yapmalısınız?

Kaspersky güvenlik ürünleri Roaming Mantis’i tespit edip silebilir, bu nedenle ilk iş olarak bütün cihazlarınıza virüsten koruma programı yükleyip bir sistem taraması yapın. Roaming Mantis’i bilgisayar ve cihazlarınızdan temizledikten sonra tekrar bulaşmasını önlemek için ortalığı biraz toparlamanız gerekecek:

  • Kötü amaçlı yazılımdan zarar gören bütün hesapların parolalarını değiştirin. Roaming Mantis kimlik avı sitesine bilgilerini verdiğiniz bütün banka kartlarını iptal edin.
  • Yönlendirici yönetici parolasını değiştirin ve yazılımı güncelleyin. Bunu yapmak için, yönlendirici üreticisinin resmi internet sitesi dışında hiçbir yerden yazılım indirmeyin.
  • Yönlendiricinin ayarlarına girin ve DNS sunucu adresini kontrol edin. Bu adres, servis sağlayıcının verdiği adresle aynı değilse ISP’nizin websitesinde bulabileceğiniz (güvenli bir sistemden kontrol edin!) veya onları arayarak öğrenebileceğiniz doğru adresle değiştirin.