Skygofree: Hollywood tarzı mobil ajan

Ocak 17, 2018
Tehditler

Truva Atlarının çoğu temelde aynıdır: Cihaza girdikten sonra cihaz sahibinin ödeme bilgilerini çalar, saldırganlar için kripto para birimi madenciliği yapar veya fidye istemek için verileri şifreler. Fakat bazı görüntüleme özellikleri de Hollywood ajan filmlerini andırıyor.

Bu filmlerden çıkıp gelmiş, Skygofree (televizyon hizmeti Sky Go ile hiçbir alakası yok; kullandığı etki alanlarından birinin adını almış) isimli sinematik Truva Atını yakın zamanda keşfettik. Skygofree başka hiçbir yerde rastlamadığımız bir dolu işleve sahip. Örneğin, yüklendiği cihazın konumunu takip edebiliyor ve cihaz sahibi belli bir yerdeyken ses kaydını açabiliyor. Pratikte bu, saldırganların kurbanlarını, mesela ofise girdiklerinde veya CEO’nun evini ziyarette iken dinlemeye başlayabileceği anlamına geliyor.

Skygofree’nin uyguladığı bir başka ilgi çekici teknik ise etkilenen telefon veya tableti saldırganlar tarafından kontrol edilen Wi-Fi ağına gizlice bağlamak; hem de sahibi, cihazın bütün Wi-Fi bağlantılarını kapamış olsa bile. Böylece kurbanın trafiği toplanıp analiz edilebiliyor. Başka bir deyişle, birisi bir yerlerden ziyaret edilen bütün siteleri, girilen tüm oturumları, parolaları ve kart numaralarını görebiliyor.

Bu kötü amaçlı yazılımın aynı zamanda cihaz bekleme modundayken de çalışmasını sağlayan işlevleri mevcut. Örneğin, Android’in son sürümü, pil ömrünü korumak için etkin olmayan işlemleri otomatik olarak kapatabiliyor ama Skygofree düzenli olarak sistem bildirimi göndererek bunu atlatabiliyor. Ayrıca teknoloji devlerinden birinin akıllı telefonlarında da ekran kapandığı an sık kullanılan uygulamalar hariç kalan tüm uygulamalar kapanıyor olsa bile Skygofree kendini otomatik olarak sık kullanılanlar listesine ekliyor.

Kötü amaçlı yazılım aynı zamanda Facebook Messenger, Skype, Viber ve Whatsapp gibi uygulamaları da izleyebiliyor. Sonuncu örnekte geliştiriciler yine ufacık bir aralıktan sızmayı başarmış: Truva Atı, Whatsapp mesajlarını Erişilebilirlik Hizmetleri aracılığıyla okuyor. Biz önceden burada görsel veya işitsel engelli kullanıcılar için geliştirilen bu aracın saldırganlar tarafından etkilenen cihazı kontrol etmek amacıyla nasıl kullanıldığını anlatmıştık. Ekranda gösterilenleri bir nevi “dijital göz” olarak okuyan bu uygulama, Skygofree için WhatsApp mesajlarını topluyor. Erişilebilirlik Hizmetlerini kullanmak için kullanıcı izni gerekiyor ama kötü amaçlı yazılım bu isteği başka, oldukça masum görünen bir isteğin arkasına saklıyor.

Sonuncu fakat bir o kadar da önemli olarak, Skygofree, kullanıcı cihazın kilidini açtığında gizlice ön kamerayı açarak fotoğraf çekebiliyor: suçluların bu fotoğrafları nasıl kullanacağını tahmin edebilirsiniz.

Tabii bu yenilikçi Truva Atının geliştiricileri, yazılıma daha sıradan özellikler eklemeyi de ihmal etmedi. Skygofree ayrıca aramaları, SMS mesajlarını, takvim girdilerini ve diğer kullanıcı verilerini engelleyebilir.

Hızlı İnternet vaadi

Skygofree’yi yakın zamanda, 2017’nin sonlarına doğru keşfettik ama analizlerimiz saldırganların bunu 2014’ten beri kullandığını ve devamlı olarak geliştirdiğini söylüyor. Son üç yılda oldukça basit bir kötü amaçlı yazılım parçasından tam teşekküllü, çok işlevli bir casus yazılıma dönüştü.

Kötü amaçlı yazılım, sahte mobil operatörü web sitelerinden, Skygofree’yi mobil internet hızını geliştirecek bir güncelleme gibi göstererek dağıtılıyor. Kullanıcı tuzağa düşüp Truva Atını indirirse yazılım yüklemenin güya gerçekleştirildiğini belirten bir bildirim gösteriyor ve kendini kullanıcıdan saklayarak ana sunucudan diğer yönergeleri alıyor. Yazılım, aldığı yanıta göre bir dizi zararlı yük indirebiliyor; saldırganların neredeyse her durum için bir çözümü bulunuyor.

Önünü gören tedbirini alır

Bugüne kadar bulut koruma hizmetimiz, yazılımın cihazlara bulaştığı yalnızca birkaç vaka kaydetti; bu vakaların tamamı ise İtalya’da gerçekleşti. Tabii bu diğer ülkelerdeki kullanıcıların korunmayı bırakabileceği anlamına gelmiyor; kötü amaçlı yazılım dağıtıcıları her an hedef kitlelerini değiştirmeye karar verebilir. İyi haber ise, kendinizi bu gelişmiş Truva Atından korumak istiyorsanız diğer virüslerden korunmak için kullandığınız yöntemler yeterli olacaktır:

  1. Yalnızca resmi sitelerden uygulama indirin. Üçüncü parti kaynaklardan uygulama indirmeyi engellemek akıllıca olacaktır; bu değişikliği akıllı telefonunuzun ayarlarından yapabilirsiniz.
  2. Sizi şüpheye düşüren hiçbir şeyi indirmeyin. Yanlış yazılmış uygulama isimlerine, indirme sayısının azlığına veya izinlere yönelik şüpheli isteklere dikkat edin: Bunların hepsi tehlike demek olabilir.
  3. Kaspersky Internet Security for Android gibi güvenilir bir güvenlik çözümü yükleyin. Böylece cihazınız çoğu zararlı uygulama ve dosyadan, şüpheli web sitelerinden veya zararlı bağlantılardan korunur. Ücretsiz sürümde taramaların elle çalıştırılması gerekir; ücretli sürüm ise taramayı otomatik olarak gerçekleştirir.

4. İşletme kullanıcılarının, çalışanların kullandığı telefon ve tabletleri korumaları için Kaspersky Endpoint Security for Business bileşeni Kaspersky Security for Mobile’ı kurmalarını öneriyoruz.