Transsion adlı Çinli bir yenilik üreticisi tarafından teslim edilen bazı orta dereceli cep telefonlarında önceden tanıtılmış kötü amaçlı yazılım bulundu.  Uzmanların yaptığı değerlendirmelerde de belirtildiği üzere kötü amaçlı yazılım bulunan telefon sayısı 200 bin civarında.

Çinli bir inovasyon üreticisi olan Transsion’un çok sayıda cep telefonunda önceden tanıtılmış bazı kötü amaçlı yazılımlar bulundu.  Bu kötü amaçlı yazılımlar, müşterilerin izni olmadan farklı üyelik yönetimlerine kayıt oluyordu.  Upstream tarafından taşınabilir güvenlik için yapılan aşama Secure-D tarafından yapılan açıklama, alışveriş yapanlara “Ucuz etin yahnisi yenmez” garantisini hatırlatıyor.

 Bir yıl önce Mart ayından bu yana yapılan incelemelerde, “Tecno W3” adlı telefon modelinde anormal derecede tuhaf görevler görüldü.  Ek olarak, bu değişimler çeşitli ülkelerde, örneğin Mısır, Kamerun, Güney Afrika, Etiyopya ve Gana’da tanındı.  Toplamda 19,2 milyon şüpheli değişim bulan uzmanlar, bu değişimlerin 200 binden fazla cihazda yapıldığını keşfettiler.  Bu tuhaf faaliyetlere “com.mufc” adı verilen bir grup kullanım neden oldu ve bu uygulamalara herhangi bir uygulama mağazasından ulaşılamadı.

Secure-D grubu, incelemesini ayrıntılandırmak için hem plastik yeni Tecno W2 telefonlardan hem de orijinal müşteriler tarafından satın alınan ve etkili bir şekilde kullanılan incelenen modelleri satın aldı.  Uzmanlar tarafından yönetilen incelemelerde, farklı kötü niyetli programların indirilmesini sağlayan Triada adlı son derece yaygın kötü amaçlı yazılımın bu telefonlara önceden yüklenmiş olduğu sonucuna vardılar.  Bu arada, bu uygulamanın, cep telefonunun yüksek seviyeli cihaz avantajlarından yararlanarak sistemin kök kayıt defterine koyulduğunu, böylece kötü niyetli kişilerin istemciyi ortaya çıkarmadan kodlarını çalıştırabileceğini ifade edelim.

Telefonlara Ön Yüklü Olarak xHelper İndiriliyor

Android ekosistemindeki en korkunç kötü amaçlı yazılımlardan biri xHelper’dır.  Kirlenmiş Android cihazını atması pratikte zor olan bu kötü amaçlı yazılım, telefona bulaşan bir virüs gibi yayılıyor.  Sonunda bu yayılma kontrolü ele geçirmeye teşvik ediyor ve programcılar girdikleri aygıtı uygun gördükleri halde çalışıyorlar.  Secure-D grubunun kararlarına göre, Triada’da yığılmış olarak gelen Transsion işaretli telefonların, bir sistem ilişkisi kurmanın ardından xHelper’ı telefona indirdiğini ortaya çıkarır.

Çinli yenilikçinin bu bölümden yasal olarak sorumlu olduğunu görüyor olabilirsiniz.  Doğruyu söylemek gerekirse, buna kim inanıyorsa.  Bununla birlikte, Google tarafından yapılan bir blog girişi, Transsion markasının hatalı olmasının yasal olmayabileceğini ortaya çıkarır.  Google mühendisleri, Triada’nın bazı kötü huylu segment üreticileri tarafından OEM’lere eklenebileceğini tahmin ediyor.  Yani Transsion, bu olayın ana suçlusu olabilir.

 Transsion yetkilileri şimdilik bir şey söylemedi.  Dahası, bu kötü amaçlı yazılımların istemcileri nasıl etkilediği şu an için belirsiz.  Önümüzdeki günlerde Transsion markasını haberlerimize daha çok taşıyacak gibi görünüyor.  Bakalım bu durum, şirketin itibarını ve ürünlerini nasıl etkileyecek.

Araştırmacılar, 7 gün boyunca Qualcomm ‘un Snapdragon 400’den fazla zayıflığı önemli ölçüde kötüye kullanarak bir milyar veya daha fazla. Android öğesinin casus donanıma dönüşmesine neden olabilecek bilgisayar korsanlarına karşı çaresiz kaldığını belirtti.

Güvenlik açıklarından, çip tarafından gönderilen bir video klibi  veya başka bir maddenin indirilmesine dikkat edildiğinde kötüye kullanılabilir. Hiçbir izin içermeyen yıkıcı uygulamalar yüklenerek de hedeflere saldırılabilir.

 Bu noktadan itibaren, saldırganlar bölgeleri kontrol edebilir ve gerçek zamanda sesle kapatmak için ayarlayabilir ve çekim ve filmlerden sızabilir.  Gayretler aynı şekilde cep telefonunu tamamen uyuşuk hale getirmeyi mümkün kılar.  Hastalıklar, genel olarak sterilize etmeyi zahmetli hale getirecek şekilde çalışma sisteminde gizlenebilir.

 Snapdragon, DSP veya elektronik işaret hazırlama çip ‘i olarak bilinen şeydir.  Bir çip üzerindeki bu tür teknik, temelde tek bir çip üzerindeki bütün bir PC’dir.  Farklı segmentler ve programlama paketi parçaları, şarj kapasitelerini ve videoyu, sesi, artan gerçekliği ve diğer karışık medya kapasitelerini bir araya getiren çeşitli işleri yönetir.  Telefon yaratıcıları da benzer şekilde özel nitelikleri lisanslayan özel uygulamaları çalıştırmak için DSP ‘leri kullanabilir.

Qualcomm Snapdragon

Yeni Saldırı Yüzey Alanı

 Look at Position Koruma kuruluşundan araştırmacılar, keşfettikleri zayıflıkların kısa bir raporunda, “DSP çipleri, alıcıları ek vurgularla zarif bir şekilde kapatmaları ve şaşırtıcı olayları güçlendirmeleri için cep telefonlarını güçlendiren makul derecede makul bir seçmeli ders verirken, bir değere eşlik ediyorlar,” diye yazdı.  “Bu çipler, bu hücre donanımına yeni saldırı yüzeyi ve zayıf unsurlar sunuyor. DSP çipleri, başkaları için sınıfının şaşırtıcı derecede en iyisi olma eğiliminde olduğunu düşünerek ‘Gizli unsurlar’ olarak denetlenmeye devam ettikleri için tehlikelere karşı çok daha güçsüzdür.  Yaratıcılarından stillerini ve konfigürasyonlarını, öne çıkan noktaları veya kodunu değerlendirmekten daha çok. “

 Qualcomm, kusurlar için bir düzenleme yaptı, ancak şu ana kadar Android işletim sistemine veya Snapdragon kullanan herhangi bir Android makineye dahil edilmedi, Test Seviyesi açıkladı.  Google ‘ın Qualcomm yamalarını iyi bir şekilde geliştirebileceğinden bahsettiğim noktada, Qualcomm ile test etmek için başvurulan bir dernek temsilcisi.  Yonga üreticisi, soran bir e-postaya cevap vermedi.

 Bak Sorun, zayıflıklar ve bunların nasıl suistimal edilebileceğiyle ilgili belirli ilgi noktalarını, düzeltmeler aygıtları tek tek tamamlayana kadar saklıyor.  Confirm Issue, zayıflıklara Aşil adını verdi.

 Qualcomm yetkilileri bir duyuruda şunları söyledi: “Para havalesi Aşamasında ortaya çıkan Qualcomm Compute DSP zayıflığıyla ilgili olarak, sorunu onaylamak ve OEM’lere doğru düzeltmeler yapmak için sürekli çalıştık. Şu anda kötüye kullanıldığını doğrulamıyoruz.  . Bitirme müşterilerini, yamalar geliştikçe cihazlarını hemen erişilebilir olacak şekilde yenilemeye ve bunları Google Perakendeci olarak güvenilir bölgelerden yalnızca amaçlara yerleştirmeye ikna ediyoruz. “

 Yer’e bakın, Snapdragon’un dünyadaki telefonların yaklaşık yüzde 40’ında koordine edildiğini gösteriyor.  Beklenen 3 milyar Android birimi ile bu, bir milyardan fazla telefon anlamına geliyor.  ABD bölümünde, Snapdragonlar yaklaşık 90 pc cihaza yerleştirilmiştir.

 Bu çabaların aksine, kendilerini korumak için esnek bir şekilde müşterilere yönelik temelde yönlendirme yoktur.  Uygulamaları sadece Perform’dan indirmek destekleyebilir, ancak Google ‘ın uygulamaları kontrol etme arşivi, yardımın sınır yeterliliğine sahip olduğunu gösterir.  Ayrıca, bubi tuzağı ile oluşturulan etkileşimli medyadan oluşan maddeyi uygun şekilde algılamanın gerçek bir yolu yoktur.

WolfRAT uygulaması öncelikle Taylandlı Android kullanıcıları hedefleyen bir kampanya olarak ortaya çıkarıldı. Android kullanıcılarının mesajlaşmaları hakkında istihbarat toplamak için popüler olarak bilinen WhatsApp ve Facebook Messenger gibi diğer mesajlaşma uygulamalarını hedefleyen yeni bir Android kötü amaçlı yazılım ailesi keşfedildi.

WolfRAT olarak adlandırılmış bu kötü amaçlı yazılım aktif olarak yenilenmekte ve geliştirilmektedir. Araştırmacılara göre bu zararlı yazılım‘ın hükümetlere casusluk tabanlı kötü amaçlı yazılım geliştiren Almanya merkezli casus yazılım kuruluşu Wolf Research tarafından ortaya atıldığını söylüyorlar.

Cisco araştırmacıları “Uygulama’nın sohbet detayları, WhatsApp kayıtları, haberciler ve SMS’ler bazı hassas bilgiler taşıyor ve insanlar bunları unutmayı seçiyor. WolfRAT‘ın özellikle Asya bölgesinde,son derece popüler bir şifreli sohbet uygulaması Line‘nı hedeflediğini tespit ettiklerini söyledi.”

WhatsAppdan İstihbarat Toplayan Zararlı Android Zararlı Yazılımı

Aynı zamanda buradaki bulaştırma yöntemi olarakta phishing (kimlik avı) ve smishing‘i (SMS phishing) kullandıkları düşünülüyor. Araştırmacılar komuta ve kontrol (C2) sunucu alanının Tayland’da bulunduğunu ve uygulamanın Tayland gıdalarına referanslar içerdiğini buldular.

WolfRAT Kampanyası Hakkında

WolfRAT, indirildikten sonra Google Play uygulamaları veya Flash güncellemeleri gibi yasal hizmetler olarak görünüyor. Örneğin, kötü amaçlı yazılım Google Play uygulaması gibi davranmak için (“com.google.services”) paket adını kullanır.

Teknoloji konusunda bilgi sahibi olmayan bir kullanıcının Google uygulaması olduğuna ve Android İşletim Sistemi için gerekli bir parça olduğunu düşmesini sağlayacak kadar gerçekci görünür. Eğer kullanıcı uygulama simgesine tıklarsa, genel Google uygulama bilgilerini görür. Ve bu uygulamanın kullanıcı tarafından kaldırılmaması amaçlanır.

WolfRAT‘ın daha fazla araştırılması sonucunda araştırmacılar, RAT’ın DenDroid olarak isimlendirilmiş daha önce ortaya çıkarılmış bir kötü amaçlı yazılıma dayandığını buldular. DenDroid uygulaması ise Android için oldukça basit bir Android zararlı yazılımı olarak bilinir. Bu yazılım birçok Android zararlı yazılımı gibi Android erişebilirlik izinlerinden faydalanmıyor. DenDroid, fotoğraf ve video çekmek, ses kaydı almak ve resim yüklemek gibi casus tabanlı komutları içerisinde barındırıyor.

WolfRAT‘ın ekran kayıt özelliği de dahil olmak üzere birkaç yeteneğe sahip olduğu ortaya çıktı. Araştırmacı önceki örnekleri incelediğinde bu özelliğin hiçbir zararlı yazılım tarafından çağrılmadığını veya kullanılmadığını gördüler. Ancak daha sonraki incelemelerde ise RAT’ın WhatsApp‘ın çalıştığını belirlediği zamanda ekran kaydı başlatıldığı gözlemlendi.

Bu zararlı uygulamala için yapılan incelemelerde önceki sürümler ve yeni sürümler arasında belirli  ACCESS_SUPERUSER ve DEVICE_ADMIN gibi yönetici izini isteyen yöntemlerin kaldırıldığı görüldü. Yeni sürümünde ise  READ_FRAME_BUFFER izini eklenmiştir. Bu izin WhatsApp, Facebook Messenger ve Line gibi uygulamaların etkinliği kontrol edip uygulamalar açıldığında, kötü amaçlı yazılım ekran görüntüleri alır ve bunu komuta ve kontrol (C2)’ yüklüyor.

Araştırmacılar geliştiricinin, “paketlerin sürekli olarak ekleme ve kaldırma işlemleri yapılmasının yanı sıra açık kaynaklı proje kopyalama / yapıştırma işlemleri gerçekleştirdiğini ve asla örneklenemeyen sınıflar, kararsız paket ve panellerin eylem gösterdiğini” söyledi.