andorid
Süpermarketteki tanıdık ödeme ritüeli: Her şey tarandıktan sonra umutlu bir gülümsemeyle sunulan teklif: “Kampanyalı ürünlerimizden ister misiniz? Bu çok kaliteli bir çikolata ve bu kadar uygun fiyata bulmak imkansızdır.” Şanslıysanız, harika bir fiyata lezzetli bir bonus alırsınız. Ancak çoğu zaman size satışı iyi olmayan bir şey satmaya çalışırlar; ya son kullanma tarihi geçmek üzeredir ya da başka bir gizli kusuru vardır.
Şimdi, o çikolatayı reddettiğinizi ama yine de gizlice çantanıza ya da daha da kötüsü cebinize atıldığını, orada eriyip kıyafetlerinizi ve gününüzü mahvettiğini düşünün. Benzer bir şey, çevrimiçi pazarlardan popüler akıllı telefon markalarının taklitlerini satın alanların başına geldi. Hayır, çikolata almadılar. Triada Truva atının aygıt yazılımına gömülü olduğu yepyeni bir akıllı telefon alıp gittiler. Bu erimiş çikolatadan çok daha kötüdür. Kripto bakiyeleri, Telegram, WhatsApp ve sosyal medya hesaplarıyla birlikte, göz açıp kapayana kadar yok olabilir. SMS’ler ve çok daha fazlası çalınabilir.
Triada mı? Hangi Triada?
Kaspersky olarak ilk kez 2016 yılında keşfettiğimiz ve ayrıntılı olarak açıkladığımız Truva atına verdiğimiz isim bu. Bu mobil kötü amaçlı yazılım, yalnızca RAM’de saklanırken bir cihazda çalışan hemen hemen her işleme sızar.
Triada’nın ortaya çıkışı, Android’i hedef alan mobil tehditlerin evriminde yeni bir dönemin habercisi oldu. Triada’dan önce, Truva atları nispeten zararsızdı, çoğunlukla reklam görüntüler ve diğer Truva atlarını indirirdi. Bu yeni tehdit, artık hiçbir şeyin eskisi gibi olmayacağını gösterdi.
Zamanla Android geliştiricileri Triada’nın ilk sürümlerinin yararlandığı güvenlik açıklarını düzeltti. Son Android sürümleri, kök ayrıcalıklarına sahip kullanıcıların bile sistem bölümlerini düzenlemesini kısıtladı. Peki bu, siber suçluları durdurdu mu? Sizce?!..
Mart 2025’e geldiğimizde Triada’nın yeni kısıtlamalardan yararlanan uyarlanmış bir versiyonunu keşfettik. Tehdit aktörü, akıllı telefonlar satılmadan önce bile aygıt yazılımına bulaşmış oluyor. Sistem bölümlerine önceden yüklenmiş olan kötü amaçlı yazılımın kaldırılması neredeyse imkansızdır.
Bu yeni sürüm neler yapabiliyor?
Android güvenlik çözümümüz Triada’nın yeni sürümünü Backdoor.AndroidOS.Triada.z olarak algılıyor. Bu yeni sürüm, çevrimiçi pazarlardan temin edilebilen sahte Android akıllı telefonların aygıt yazılımına yerleştirilmiştir. Cihaz üzerinde çalışan herhangi bir uygulamaya saldırabilir. Bu, Truva atına neredeyse sınırsız yetenekler kazandırır. SMS ve aramaları kontrol edebilir, kripto paraları çalabilir, başka uygulamalar indirip çalıştırabilir, tarayıcılardaki bağlantıları değiştirebilir, sohbet uygulamalarında sizin adınıza gizlice mesaj gönderebilir ve sosyal medya hesaplarını ele geçirebilir.
Triada’nın bir kopyası, virüs bulaşmış bir cihazda başlatılan her uygulamaya sızar. Bunun yanı sıra, Truva atı popüler uygulamaları hedef alan özel modüllere de sahiptir. Kullanıcı Telegram veya TikTok gibi yasal bir uygulamayı indirir indirmez, Truva atı kendisini bu uygulamaya yerleştirerek zarar vermeye başlar.
Telegram: Triada, Telegram’ı tehlikeye atmak için iki modül indirir. İlki günde bir kez kötü niyetli faaliyet başlatarak bir komuta ve kontrol (C2) sunucusuna bağlanır. Kurbanın telefon numarasını, erişim belirteci de dahil olmak üzere tüm kimlik doğrulama verileriyle birlikte suçlulara gönderir. İkinci modül tüm mesajları filtreler, bir botla etkileşime girer (araştırmamız sırasında mevcut değildi) ve yeni Telegram girişleriyle ilgili bildirimleri siler.
Instagram: Günde bir kez, Truva atı aktif oturum çerezlerini aramak ve verileri saldırganlara iletmek için kötü amaçlı bir görev çalıştırır. Bu dosyalar, suçluların hesap üzerinde tam kontrol sahibi olmalarına yardımcı olur.
Tarayıcılar: Triada; Chrome, Opera ve Mozilla da dahil olmak üzere birçok tarayıcı için tehdit teşkil eder. Tam listeye bu Securelist makalesinden ulaşabilirsiniz. Modül, TCP üzerinden C2 sunucusuna bağlanır ve şimdilik tarayıcılardaki meşru bağlantıları rastgele reklam sitelerine yönlendirir. Ancak, Truva atı C2 sunucusundan yönlendirme bağlantılarını indirdiği için, saldırganlar kullanıcıları istedikleri zaman kimlik avı sitelerine yönlendirebilirler.
WhatsApp: Yine, iki modül vardır. İlki, aktif oturumla ilgili verileri her beş dakikada bir C2 sunucusuna toplar ve gönderir, böylece saldırganlar kurbanın hesabına tam erişim elde eder. İkincisi, mesaj gönderme ve alma ile ilgili istemci işlevlerini engeller. Bu sayede kötü amaçlı yazılım, izlerini örtmek için rastgele anlık mesajlar gönderip silebilir.
LINE: Özel Triada modülü, kimlik doğrulama verileri de (erişim belirteci) dahil olmak üzere uygulama içi verileri her 30 saniyede bir toplar ve C2 sunucusuna iletir. Bu durumda da, başka bir kişi, kullanıcının hesabının tam kontrolünü üstlenir.
Skype: Skype kullanımdan kaldırılmak üzere olsa da, Triada hala onu enfekte etmek için bir modüle sahiptir. Triada, kimlik doğrulama belirtecini elde etmek için çeşitli yöntemler kullanır ve ardından bunu C2 sunucusuna gönderir.
TikTok: Bu modül, dahili dizindeki çerez dosyalarından kurbanın hesabı hakkında birçok veri toplayabilir ve ayrıca TikTok API ile iletişim kurmak için gerekli verileri çıkarabilir.
Facebook: Triada, bu uygulama için iki modülle donatılmıştır. Bunlardan biri kimlik doğrulama çerezlerini çalar, diğeri ise enfekte olmuş cihazla ilgili bilgileri C2 sunucusuna gönderir.
Elbette, SMS ve aramalar için modüller de mevcuttur. İlk SMS modülü, kötü amaçlı yazılımın gelen tüm mesajları filtrelemesine ve bunlardan kodları çıkarmasına, bazı mesajlara yanıt vermesine (muhtemelen kurbanları ücretli hizmetlere abone etmek için) ve C2 sunucusu tarafından talimat verildiğinde rastgele SMS mesajları göndermesine olanak tanır. İkinci yardımcı modül, kısa kodlara (Premium SMS) mesaj göndermeden önce kullanıcı izni isteyen SMS Truva atlarına karşı yerleşik Android korumasını devre dışı bırakır. Bu mesajlar, ücretli abonelikleri onaylamak için kullanılabilir.
Arama modülü telefon uygulamasına entegre edilmiştir, ancak büyük olasılıkla hala geliştirme aşamasındadır. Telefon numarası sahteciliğini kısmen uyguladığını keşfettik; bunun yakında tamamlanmasını bekliyoruz.
Başka bir modül olan ters proxy, kurbanın akıllı telefonunu ters proxy sunucusuna dönüştürerek saldırganların, kurban adına rastgele IP adreslerine erişmelerini sağlar.
Beklendiği gibi, Triada kripto para sahiplerini de hedef alır ve onlara özel bir sürpriz hazırlar: Bir kırpıcı. Truva atı, kripto cüzdan adresleri için panoyu izler ve saldırganların adreslerinden birini kendi adresiyle değiştirir. Bir kripto hırsızı, kurbanın faaliyetlerini analiz eder ve kripto para çekme girişimi yapıldığında, kripto cüzdan adreslerini mümkün olan her yerde sahte adreslerle değiştirir. Hatta uygulamaların içindeki düğme dokunma işleyicilerini engeller ve görüntüleri saldırganların cüzdan adreslerine bağlantı veren QR kodlarıyla değiştirir. Suçlular, bu araçların yardımıyla 13 Haziran 2024 tarihinden bu yana çeşitli kripto para birimlerinde 264.000 ABD dolarından fazla para çalmayı başardılar.
Triada’nın tüm özellikleri ve ayrıntılı teknik analizi için Securelist raporumuza göz atabilirsiniz.
Kötü amaçlı yazılım akıllı telefonlara nasıl sızar?
Bildiğimiz tüm bulaşma vakalarında, cihazdaki ürün yazılımı adı resmi adından tek bir harfle farklıydı. Örneğin, resmi yazılım TGPMIXM iken, virüs bulaşmış telefonlarda TGPMIXN vardı. Kullanıcıların çevrimiçi mağazalardan satın aldıkları sahte cihazlar hakkında şikayette bulundukları ilginç tartışma forumları bulduk.
Tedarik zincirinin bir aşamasında güvenlik ihlali yaşandığı ve mağazaların Triada ile enfekte cihazları dağıttıklarından haberleri olmadığı tahmin ediliyor. Bu arada, kötü amaçlı yazılımın akıllı telefonlara tam olarak ne zaman yerleştirildiğini belirlemek neredeyse imkansız.
Kendinizi siber suçlara karşı nasıl korursunuz?
Truva atının yeni sürümü sahte cihazlarda önceden yüklenmiş olarak bulundu. Bu nedenle, Triada enfeksiyonunu önlemenin en iyi yolu, akıllı telefonları yalnızca yetkili satıcılardan satın almaktır. Telefonunuzun Triada (veya başka bir Truva atı) ile enfekte olduğundan şüpheleniyorsanız, aşağıdaki önerilerimizi inceleyin.
- Yukarıda listelenen potansiyel olarak güvenliği ihlal edilmiş uygulamaları kullanmaktan ve kripto para birimleri de dahil olmak üzere herhangi bir finansal işlem yapmaktan kaçının.
- Akıllı telefonunuza Android için Kaspersky yükleyin ve cihazınıza gerçekten zararlı yazılım bulaşıp bulaşmadığını kontrol edin.
- Cihazda Triada bulunursa, akıllı telefonu resmi ürün yazılımı ile kendiniz yeniden başlatın veya yerel servis merkezine başvurun. Akıllı telefonunuzun özelliklerinde ani değişiklikler bekleyin: Önceden yüklenmiş Trojan’ın yanı sıra, sahte aygıt yazılımı genellikle RAM ve depolama alanını olduğundan fazla gösterir.
- Akıllı telefonunuza Triada bulaştığı tespit edilirse, ele geçirilmiş olabilecek tüm mesajlaşma ve sosyal medya uygulamalarını kontrol edin. Sohbet uygulamaları için, tanımadığınız cihazlarda hala çalışan oturumları sonlandırdığınızdan emin olun ve WhatsApp ve Telegram hesaplarının ele geçirilmesi: Kendinizi dolandırıcılığa karşı nasıl korursunuz? kılavuzumuza göre gizlilik ayarlarınızı kontrol edin. Anlık mesajlaşma hesaplarınızın ele geçirildiğinden şüpheleniyorsanız, WhatsApp hesabınız saldırıya uğrarsa ne yapmalısınız? veya Telegram hesabınız saldırıya uğrarsa ne yapmalısınız? makalelerini okuyun. Tüm cihazlarınızdaki tüm sosyal medya oturumlarını sonlandırın ve şifrelerinizi değiştirin. Kaspersky Password Manager size bu konuda yardımcı olabilir.
- Privacy Checker portalımız, genel olarak çeşitli uygulamalarda ve işletim sistemlerinde gizliliğin yapılandırılmasına ilişkin adım adım bir kılavuz sunmaktadır.
Triada, kesinlikle tek mobil Truva atı değil. Diğer Android zararlı yazılımları hakkındaki haberlerimiz için aşağıdaki bağlantıları ziyaret edebilirsiniz:
İpuçları