android
YoWhatsApp olarak bilinen başka bir WhatsApp modifikasyonunun daha kötü amaçlı olduğu ortaya çıktı. Modifikasyon, akıllı telefonlara reklam gösteren, kullanıcıyı ücretli içeriklere gizlice abone yapan ve WhatsApp hesaplarını çalan Triada Truva Atını indiriyor. Peki bu nasıl oldu ve çıkarabileceğimiz dersler neler?
Timsahları elinizle beslemeyin: Basit siber güvenlik kuralları
Bilgi güvenliğinin en önemli kuralı riskleri azaltmak. Bunun için:
- Şüpheli web sitelerini ziyaret etmeyin, kötü amaçlı reklamlar barındırabiliyor ya da kimlik avı dolandırıcılığı için kullanılıyor olabilirler.
- Hacklenmiş program sürümlerini torrent ile indirmeyin. Crack’ler, parola çalma Truva Atları gibi çeşitli kötü amaçlı yazılımlar içerebilir.
- Bilinmeyen adreslerden gelen e-postalardaki bağlantılara tıklamayın ve ekleri açmayın, buralarda her türlü kötü amaçlı yazılım olabilir.
İşin özü, dikkatli olmak kendinizi siber tehditlere karşı koruma konusunda çok işinize yarar.
Aynı zamanda antivirüsünüzü etkin ve güncel tutmanız da çok önemli, herhangi bir şey olması durumunda bu sizin sigortanız. Gece geç saatte ıssız bir sokaktan geçmenin çevrimiçi karşılığına denk gelen şeyler yaparak şansınızı zorlamayın. Biraz sağduyuyla dolandırıcılara yem olma ihtimalinizi büyük ölçüde azaltırsınız.
Yukarıdakilere ek olarak, başınıza kötü bir şey gelme olasılığını azaltmak için yapmanız gerekenler listesine eklenmesi gereken bir şey daha var: Resmi olmayan kaynaklardan mobil uygulama indirmeyin. Google ve Apple, mağazalarına eklemeden önce uygulamaları doğrular. Bu sayede kötü amaçlı yazılımlarla karşılaşma olasılığınız çok azalır (yine de tamamen yok olmaz, özellikle de Google Play’de). Huawei de Huawei AppGallery için aynısını yapıyor, ancak burada da halihazırda bazı kötü amaçlı yazılımlar bulundu. Yine de APK dosyası indirmenize izin veren açık platformlarda kötü amaçlı yazılımlarla karşılaşma olasılığınız çok daha fazla.
Önemli bir güvenlik kuralı daha var: Mesajlaşma uygulamaları için resmi olmayan istemciler kullanmayın. Bunun neden önemli olduğunu anlamak için mesajlaşma uygulamalarının nasıl çalıştığına biraz daha yakından bakalım.
Bu uygulamaların çoğu, kullanıcının doğrudan istemci uygulamayla etkileşim kurduğu modeline göre çalışır. İstemci ile sunucu arasındaki veri alışverişi özel bir protokol ile gerçekleşir. Birçok mesajlaşma uygulamasında bu protokol açıktır. Bu da örneğin diğer kullanıcıların sildiği mesajları görüntülemek, toplu mesajlar oluşturmak veya arayüzü özelleştirmek gibi ilave özelliklere sahip resmi olmayan modifiye istemciler yaratmayı mümkün kılar.
Tehlike nerede? Resmi istemcilerde yazışmalarınızı yalnızca mesajlaşma uygulamasının yaratıcısına emanet edersiniz. Resmi olmayan bir istemci kullandığınızda ise yazışmalarınızı yalnızca mesajlaşma sisteminin geliştiricilerine değil, aynı zamanda resmi olmayan istemci uygulamanın geliştiricilerine de vermiş olursunuz. Üstüne üstlük, modifiye istemci resmi olmayan kaynaklar üstünden dağıtılıyor olabilir (bunlara güvenilmemesi gerektiğinden bahsetmiştik). Tüm bunlar, bir şeylerin ters gidebileceği ekstra aşamalar demek. Diğer bir deyişle, ekstra riskleri var.
N’aber, Triada
Elbette bir şeyler gerçekten de ters gitti ve geçen sene bahsettiğimiz senaryo tekrarlandı. Hatırlatmak gerekirse: Saldırganlar, kullanıcı cihazlarına çok işlevli bir Truva Atı olan Triada‘yı indiren bir dropper’ı FMWhatsapp modifikasyonuna bulaştırmıştı. Bu modüler Truva Atı genel olarak reklam gösteriyor ve kullanıcıyı ücretli bir takım içerikleri abone yapıyor.
Şimdi de aynı şey oldu. Mesajlaşma uygulaması aynı fakat resmi olmayan istemci farklı. Bu sefer YoWa olarak da bilinen YoWhatsApp modifikasyonuna virüs bulaştı. Bu modifikasyonun genişletilmiş gizlilik seçenekleri, 700 MB’a kadar dosya gönderebilme ve arttırılmış hız gibi kullanıcılara cazip gelen yönleri var.
Görünüşe göre YoWhatsApp geniş kullanıcı tabanı yüzünden kötü amaçlı yazılımcıların gözüne çarptı. Modifikasyonun Google Play’e girememesi de suçluların ekmeğine yağ sürdü. Kullanıcılar YoWhatsApp’ı güvenilirliği şüpheli kaynaklardan indirmeye alışkındı. Modifikasyonun virüslü sürümünün ana dağıtım kanallarından biri, video ve ses indirmeye yönelik bir uygulama olan SnapTube‘daki reklamlardı. Reklamlarından birinin kötü amaçlı yazılım yaydığından büyük olasılıkla SnapTube’un sahipleri de şüphelenmemişti.
Kullanıcılar cihazlarına virüslü YoWhatsApp’ın yanı sıra Triada Truva Atını taşıyan bir dropper da indirdiler. Geçen yılki saldırının aksine bu sefer Truva Atıyla gelen tek şey dropper değildi. YoWhatsApp’a, WhatsApp’ın çalışması için gereken anahtarların suçlular tarafından çalınmasına olanak sağlayan ilave bir özellik eklenmişti. Bu anahtarlar sayesinde hesap çalınabiliyor ve çalınan hesaplar kötü amaçlı yazılım yaymak ya da kurbanın rehberindeki kişilerde para sızdırmak için kullanılabiliyordu.
Bunun sonucunda kullanıcı yalnızca parasından olmakla kalmıyor (Triada kendisini ücretli aboneliklere kaydettiği için), aynı zamanda listesindeki kişilerin güvenliğini de tehlikeye atıyordu. Suçlular, bu kişilere kullanıcının adıyla mesaj atabiliyordu.
Android’deki kötü amaçlı yazılımlardan korunmanın yolları
Kötü amaçlı yazılımlarla savaşmanın en iyi yolu, en başta bu yazılımları kapabileceğiniz durumlardan kaçınmaktır. Bu durumda kendinizi korumak için uymanız gereken üç basit kural var:
- Bilinmeyen kaynaklardan uygulama indirmeyin. Hatta, Android akıllı telefonunuza Google Play dışında bir yerden uygulama yüklenebilmesini engelleyin.
- Mesajlaşma uygulamalarının alternatif istemcilerini yüklemeyin. Uygulamaların resmi sürümleri de kusursuz olmasa da çok daha güvenilir ve güvenlidir.
- İyi bir koruma kullanın ve bu korumayı daima etkin tutun. Kaspersky for Android, Triada Truva Atının farklı modifikasyonlarını ve diğer Android kötü amaçlı yazılımlarını tespit eder ve herhangi bir zarar verme fırsatı bulmalarından önce engeller. Mobil korumamızın ücretsiz sürümünde telefonunuza yeni bir şey indirdiğinizde veya yüklediğinizde her seferinde manuel olarak taramayı başlatmanız gerektiğini unutmayın. Tam sürüm her uygulamayı otomatik olarak tarar.
İpuçları