{"id":4937,"date":"2018-05-22T10:49:47","date_gmt":"2018-05-22T07:49:47","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=4937"},"modified":"2019-11-15T14:41:39","modified_gmt":"2019-11-15T11:41:39","slug":"roaming-mantis-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/roaming-mantis-malware\/4937\/","title":{"rendered":"Roaming Mantis, Wi-Fi y\u00f6nlendiriciler arac\u0131l\u0131\u011f\u0131yla ak\u0131ll\u0131 telefonlara bula\u015f\u0131yor"},"content":{"rendered":"

Bir s\u00fcre \u00f6nce uzmanlar\u0131m\u0131z Roaming Mantis ad\u0131n\u0131 verdikleri k\u00f6t\u00fc ama\u00e7l\u0131 bir yaz\u0131l\u0131m hakk\u0131nda bir ara\u015ft\u0131rma yapt\u0131<\/a>. O zamanlarda, bu k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131n ma\u011fdurlar\u0131 daha \u00e7ok Japonya, Kore, \u00c7in, Hindistan ve Banglade\u015f\u2019teki kullan\u0131c\u0131lar oldu\u011fu i\u00e7in bunu di\u011fer b\u00f6lgeler ba\u011flam\u0131nda tart\u0131\u015fmam\u0131\u015ft\u0131k; o zamanlar yerel bir tehdit gibi g\u00f6r\u00fcn\u00fcyordu.<\/p>\n

Fakat rapor yay\u0131nland\u0131ktan sonraki bir ay i\u00e7inde, Roaming Mantis tam yirmi d\u00f6rt dil daha \u00f6\u011frendi ve t\u00fcm d\u00fcnyada h\u0131zla yay\u0131lmaya devam ediyor.<\/p>\n

Bu k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m, korumas\u0131z y\u00f6nlendiricileri kullanarak Android tabanl\u0131 ak\u0131ll\u0131 telefonlar\u0131 ve tabletleri ele ge\u00e7iriyor. Sonra da iOS i\u015fletim sistemine sahip cihazlar\u0131 bir kimlik av\u0131 sitesine y\u00f6nlendirerek masa\u00fcst\u00fc ve diz\u00fcst\u00fc bilgisayarlarda CoinHive kripto madencilik beti\u011fini devreye sokuyor. Bunu DNS h\u0131rs\u0131zl\u0131\u011f\u0131 y\u00f6ntemiyle yapt\u0131\u011f\u0131 i\u00e7in de hedefteki kullan\u0131c\u0131lar\u0131n bir \u015feylerin ters gitti\u011fini anlamas\u0131 kolay olmuyor.<\/p>\n

DNS h\u0131rs\u0131zl\u0131\u011f\u0131 nedir?<\/h2>\n

Taray\u0131c\u0131n\u0131z\u0131n adres \u00e7ubu\u011funa bir site ad\u0131 yazd\u0131\u011f\u0131n\u0131zda taray\u0131c\u0131 asl\u0131nda o siteye bir talep g\u00f6ndermez. Daha do\u011frusu g\u00f6nderemez; \u00e7\u00fcnk\u00fc \u0130nternet\u2019te i\u015fler say\u0131 k\u00fcmelerinden olu\u015fan IP adresleri \u00fczerinden y\u00fcr\u00fct\u00fcl\u00fcr, s\u00f6zc\u00fcklerden olu\u015fan alan adlar\u0131 ise insanlar\u0131n daha kolay hat\u0131rlamas\u0131 ve yazmas\u0131 i\u00e7indir.<\/p>\n

Siz bir URL yazd\u0131\u011f\u0131n\u0131zda taray\u0131c\u0131n\u0131z bir DNS sunucusuna (DNS Etki Alan\u0131 Ad\u0131 Sistemidir) bir talep g\u00f6nderir, sunucu da insanlar i\u00e7in pratik olan bu ismi ilgili web sitesinin IP adresine d\u00f6n\u00fc\u015ft\u00fcr\u00fcr. Taray\u0131c\u0131, o siteyi bulurken ve a\u00e7arken i\u015fte bu IP adresini kullan\u0131r.<\/p>\n

DNS h\u0131rs\u0131zl\u0131\u011f\u0131, taray\u0131c\u0131y\u0131 kand\u0131rarak etki alan ad\u0131n\u0131 do\u011fru IP adresine d\u00f6n\u00fc\u015ft\u00fcrmedi\u011fi halde b\u00f6yle oldu\u011funu d\u00fc\u015f\u00fcnmesini sa\u011flaman\u0131n bir yoludur. IP adresi yanl\u0131\u015f olmas\u0131na ra\u011fmen, taray\u0131c\u0131n\u0131n adres \u00e7ubu\u011funda kullan\u0131c\u0131 taraf\u0131ndan girilen do\u011fru URL yazd\u0131\u011f\u0131 i\u00e7in ortada \u015f\u00fcpheli bir durum olmaz.<\/p>\n

DNS h\u0131rs\u0131zl\u0131\u011f\u0131n\u0131n bir\u00e7ok y\u00f6ntemi var ama Roaming Mantis\u2019in yarat\u0131c\u0131lar\u0131 bunlar aras\u0131ndaki belki de en basit ve en etkili y\u00f6ntemi se\u00e7mi\u015f: korunmas\u0131z y\u00f6nlendiricilerin ayarlar\u0131n\u0131 ele ge\u00e7irerek onlar\u0131 kendi sahte DNS sunucular\u0131n\u0131 kullanmaya zorluyorlar. Bu durumda bu y\u00f6nlendiriciye ba\u011fl\u0131 bir ayg\u0131tta taray\u0131c\u0131 adres \u00e7ubu\u011funa ne yaz\u0131lm\u0131\u015f olursa olsun, kullan\u0131c\u0131 k\u00f6t\u00fc ama\u00e7l\u0131 bir siteye y\u00f6nlendiriliyor.<\/p>\n

Android \u00dczerindeki Roaming Mantis<\/h2>\n

K\u00f6t\u00fc ama\u00e7l\u0131 bir siteye y\u00f6nlendirildikten sonra kullan\u0131c\u0131dan taray\u0131c\u0131s\u0131n\u0131 g\u00fcncellemesi isteniyor. Bu sayede chrome.apk<\/strong> ad\u0131 verilen k\u00f6t\u00fc ama\u00e7l\u0131 bir uygulama indirilmi\u015f oluyor (bunun facebook.apk<\/strong> ad\u0131 verilen di\u011fer bir versiyonu da vard\u0131).<\/p>\n

\"\"<\/p>\n

K\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m, kurulum s\u00fcreci s\u0131ras\u0131nda hesap bilgilerine eri\u015fme, SMS mesajlar\u0131 g\u00f6nderme ve alma, sesli aramalar\u0131 i\u015fleme, ses kaydetme, dosyalara eri\u015fme, kendi penceresini di\u011ferlerinin \u00fcst\u00fcnde g\u00f6sterme gibi haklar da dahil birtak\u0131m izinler<\/a> istiyor. Google Chrome gibi g\u00fcvenilir bir uygulama i\u00e7in bu liste pek \u015f\u00fcphe \u00e7ekmez \u2014 kullan\u0131c\u0131 bu \u201ctaray\u0131c\u0131 g\u00fcncellemesini\u201d me\u015fru bulursa, listeyi okumaya zahmet bile etmeden izinleri rahatl\u0131kla verir.<\/p>\n

Uygulama kurulduktan sonra, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m hesap listesine eri\u015fme hakk\u0131n\u0131 kullanarak o ayg\u0131tta hangi Google hesab\u0131n\u0131n kullan\u0131ld\u0131\u011f\u0131n\u0131 bulur. Daha sonra, kullan\u0131c\u0131ya hesab\u0131yla ilgili bir sorun oldu\u011funu s\u00f6yleyerek hesaba tekrar giri\u015f yapmas\u0131n\u0131 isteyen bir mesaj g\u00f6sterilir (bu mesaj di\u011fer b\u00fct\u00fcn a\u00e7\u0131k pencerelerin \u00fcst\u00fcnde g\u00f6r\u00fcn\u00fcr ve k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131n istedi\u011fi bir di\u011fer izindir). Sonra da bir sayfa a\u00e7\u0131larak kullan\u0131c\u0131dan ad\u0131n\u0131 ve do\u011fum tarihini girmesi istenir.<\/p>\n

\"\"<\/p>\n

Roaming Mantis\u2019in yarat\u0131c\u0131lar\u0131 bu verilerle birlikte iki \u00f6\u011feli kimlik do\u011frulama i\u00e7in gereken tek seferlik \u015fifrelere eri\u015fimi sa\u011flayacak SMS izinlerini de kullanarak Google hesaplar\u0131n\u0131 \u00e7alar.<\/p>\n

Roaming Mantis: D\u00fcnya turu, iOS\u2019a ge\u00e7i\u015f, ve madencilik<\/h2>\n

Ba\u015flang\u0131\u00e7ta, Roaming Mantis d\u00f6rt dilde mesaj g\u00f6r\u00fcnt\u00fcleyebiliyordu: \u0130ngilizce, Korece, \u00c7ince ve Japonca. Bu k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131n yarat\u0131c\u0131lar\u0131 yolun bir noktas\u0131nda, yaz\u0131l\u0131m\u0131n bildi\u011fi dilleri \u00e7o\u011faltarak yirmi d\u00f6rt dil daha eklemeye karar verdi:<\/p>\n