{"id":8193,"date":"2020-05-07T11:22:00","date_gmt":"2020-05-07T08:22:00","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=8193"},"modified":"2020-05-13T19:52:27","modified_gmt":"2020-05-13T16:52:27","slug":"phantomlance-android-backdoor-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/phantomlance-android-backdoor-trojan\/8193\/","title":{"rendered":"Google Play’de PhantomLance Android arka kap\u0131s\u0131 ke\u015ffedildi"},"content":{"rendered":"

Ge\u00e7ti\u011fimiz Temmuz ay\u0131nda Doctor Web\u2019deki meslekta\u015flar\u0131m\u0131z Google Play\u2019de bir Truva arka kap\u0131s\u0131 tespit etti<\/a>. Bu t\u00fcr ke\u015fifler her g\u00fcn ger\u00e7eklemese de bu bir ilk de\u011fil: Ara\u015ft\u0131rmac\u0131lar Google Play\u2019de ger\u00e7ekten de baz\u0131 Truva atlar\u0131 bulabiliyor, hatta bazen y\u00fczlercesini ayn\u0131 anda bulduklar\u0131 bile oluyor.<\/p>\n

\u00d6te yandan bu Truva at\u0131, Google Play\u2019de bulunan k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlara g\u00f6re \u015fa\u015f\u0131rt\u0131c\u0131 derecede karma\u015f\u0131k oldu\u011fu i\u00e7in uzmanlar\u0131m\u0131z konuyu daha derinden ele almaya karar verdi. Kendi ara\u015ft\u0131rmalar\u0131n\u0131 y\u00fcr\u00fctt\u00fcler<\/a> ve bu k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131n 2015\u2019in sonundan bu yana devam eden k\u00f6t\u00fc ama\u00e7l\u0131 bir giri\u015fimin bir par\u00e7as\u0131 oldu\u011funu ke\u015ffettiler (bu giri\u015fime PhantomLance diyoruz).<\/p>\n

PhantomLance ne yapabilir<\/h2>\n

Uzmanlar\u0131m\u0131z, PhantomLance\u2019in birden fazla s\u00fcr\u00fcm\u00fcn\u00fc tespit etti. Artan karma\u015f\u0131kl\u0131klar\u0131na ve ortaya \u00e7\u0131kma zamanlar\u0131ndaki farkl\u0131l\u0131klara ra\u011fmen yapabildikleri a\u00e7\u0131s\u0131ndan birbirlerine olduk\u00e7a benziyorlar.<\/p>\n

PhantomLance\u2019in ana hedefi, kurban\u0131n cihaz\u0131ndaki gizli bilgileri hasat etmek. Bu k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m, sahiplerine lokasyon verilerini, arama kay\u0131tlar\u0131n\u0131, metin mesajlar\u0131n\u0131, kurulu uygulamalar\u0131n listesini ve enfekte ak\u0131ll\u0131 telefon hakk\u0131ndaki t\u00fcm bilgileri sunabiliyor. Dahas\u0131, yaz\u0131l\u0131m\u0131n fonksiyonlar\u0131 C&C sunucusundan ilave mod\u00fcller eklenerek istendi\u011fi anda geni\u015fletilebiliyor.<\/p>\n

PhantomLance yay\u0131l\u0131m\u0131<\/h2>\n

Google Play, bu k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131n ana yay\u0131l\u0131m platformu. \u00dc\u00e7\u00fcnc\u00fc taraf havuzlarda da bu yaz\u0131l\u0131ma rastland\u0131 ama bu havuzlar\u0131n \u00e7o\u011fu yaln\u0131zca resmi Google App Store\u2019un birer yans\u0131tmas\u0131yd\u0131.<\/p>\n

Bu Truva at\u0131n\u0131n bir s\u00fcr\u00fcm\u00fcyle enfekte olmu\u015f uygulamalar\u0131n 2018 yaz\u0131ndan bu yana ma\u011fazada g\u00f6r\u00fcnmeye ba\u015flad\u0131\u011f\u0131n\u0131 kesin olarak s\u00f6yleyebiliyoruz. K\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m, font de\u011fi\u015ftirme, reklam kald\u0131rma, sistem temizleme gibi \u00e7e\u015fitli uygulamalarda gizli halde bulundu.<\/p>\n

\"\"

Google Play\u2019de PhantomLance arka kap\u0131s\u0131 i\u00e7erdi\u011fi tespit edilen bir uygulama<\/p><\/div>\n

Elbette o zamandan bu yana PhantomLance\u2019i i\u00e7eren uygulamalar Google Play\u2019den kald\u0131r\u0131ld\u0131, fakat yans\u0131tmalarda hala baz\u0131 kopyalar bulunabiliyor. Bu yans\u0131tma havuzlar\u0131n\u0131n kurulum paketlerinin do\u011frudan Google Play\u2019den indirildi\u011fini, dolay\u0131s\u0131yla kesinlikle vir\u00fcss\u00fcz oldu\u011funu belirtmeleri ise olduk\u00e7a ironik.<\/p>\n

Siber su\u00e7lular oyuncaklar\u0131n\u0131 Google\u2019\u0131n resmi ma\u011fazas\u0131na sokmay\u0131 nas\u0131l ba\u015fard\u0131? Birincisi, sald\u0131rganlar orijinalli\u011fi art\u0131rmak i\u00e7in GitHub\u2019da her bir geli\u015ftirici i\u00e7in profil olu\u015fturdular. Bu profiller yaln\u0131zca bir t\u00fcr lisans s\u00f6zle\u015fmesi i\u00e7eriyordu. Yine de GitHub\u2019da profil sahibi olmak, g\u00f6r\u00fcn\u00fc\u015fe bak\u0131l\u0131rsa geli\u015ftiricilere sayg\u0131nl\u0131k kazand\u0131rm\u0131\u015ft\u0131.<\/p>\n

\u0130kincisi, PhantomLance geli\u015ftiricilerinin ma\u011fazaya ilk y\u00fckledikleri uygulamalar k\u00f6t\u00fc ama\u00e7l\u0131 de\u011fildi. Programlar\u0131n ilk s\u00fcr\u00fcmleri hi\u00e7bir \u015f\u00fcpheli \u00f6zellik i\u00e7ermedi\u011fi i\u00e7in Google Play kontrollerini rahat\u00e7a ge\u00e7tiler. K\u00f6t\u00fc ama\u00e7l\u0131 \u00f6zellikler, bir s\u00fcre sonra getirilen g\u00fcncellemelerle uygulamalara eklendi.<\/p>\n

PhantomLance\u2019in hedefleri<\/h2>\n

Yay\u0131ld\u0131\u011f\u0131 co\u011frafyay\u0131 ve internet ma\u011fazalar\u0131ndaki Vietnamca s\u00fcr\u00fcmleri g\u00f6z \u00f6n\u00fcnde bulundurdu\u011fumuzda, PhantomLance yarat\u0131c\u0131lar\u0131n\u0131n ana hedefinin Vietnaml\u0131 kullan\u0131c\u0131lar oldu\u011funa inan\u0131yoruz.<\/p>\n

Ayr\u0131ca uzmanlar\u0131m\u0131z, PhantomLance\u2019i Vietnaml\u0131 kullan\u0131c\u0131lar\u0131 hedef alan bir\u00e7ok k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mdan sorumlu OceanLotus grubuyla ili\u015fkilendirecek pek \u00e7ok karakteristik \u00f6zelli\u011fe de rastlad\u0131.<\/p>\n

Daha \u00f6nce analiz edilen OceanLotus k\u00f6t\u00fc ama\u00e7l\u0131 ara\u00e7lar\u0131 aras\u0131nda bir macOS arka kap\u0131s\u0131 ailesi, bir Windows arka kap\u0131s\u0131 ailesi ve 2014-2017 y\u0131llar\u0131 aras\u0131nda etkinli\u011fi tespit edilen bir dizi Android Truva at\u0131 yer al\u0131yordu. Uzmanlar\u0131m\u0131z PhantomLance\u2019in bu Android Truva atlar\u0131n\u0131n 2016\u2019da ba\u015flayan s\u00fcr\u00fcmlerinin izinden gitti\u011fi sonucuna ula\u015ft\u0131.<\/p>\n

\"\"

PhantomLance, di\u011fer OceanLotus k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mla ili\u015fkilendirildi<\/p><\/div>\n

PhantomLance\u2019den nas\u0131l korunulur<\/h2>\n

Android\u2019e y\u00f6nelik k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlarla ilgili yaz\u0131larda s\u0131k s\u0131k tekrar etti\u011fimiz bir ipucu, uygulamalar\u0131 yaln\u0131zca Google Play\u2019den kurman\u0131z. Fakat PhantomLance, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar\u0131n bazen internet devlerini bile kand\u0131rabilece\u011fini bir kez daha g\u00f6sterdi.<\/p>\n

Google, uygulama ma\u011fazas\u0131n\u0131 temiz tutmak i\u00e7in \u00e7ok \u00e7aba harc\u0131yor. Aksi takdirde \u015f\u00fcpheli yaz\u0131l\u0131mlarla \u00e7ok daha s\u0131k kar\u015f\u0131la\u015f\u0131rd\u0131k, fakat \u015firketin yapabilecekleri s\u0131n\u0131rs\u0131z de\u011fil ve sald\u0131rganlar yarat\u0131c\u0131l\u0131klar\u0131n\u0131 ortaya koyuyor. Bu y\u00fczden bir uygulaman\u0131n yaln\u0131zca Google Play\u2019de olmas\u0131 g\u00fcvenli oldu\u011funu garanti etmiyor. Daima di\u011fer fakt\u00f6rleri de g\u00f6z \u00f6n\u00fcnde bulundurun:<\/p>\n