Krysanec:
Yasal görünen uygulamaların arkasına saklanıyor, telefonu ele geçiriyor
Telefonu ele geçiren maskeli truva atı
Global antivirüs yazılım kuruluşu ESET, akıllı cep telefonlarını hedef alan ve yasal görünen uygulamalarla kendini maskeleyen yeni bir tip zararlı yazılımı ortaya çıkardı. “Krysanec” adlı bu truva atı, kendini çok kullanılan popüler uygulamaların içinde saklıyor. Bu uygulamalarla beraber bir kere telefona yüklendikten sonra cihaz üzerindeki dosyalara erişim sağlıyor ve çeşitli verileri toplayabiliyor.
ESET tarafından “Android/Spy.Krysanec” adıyla tanımlanan bu truva atı hakkında ayrıntılı bir analiz hazırlayan ESET Güvenlik Araştırmacısı Robert Lipovsky, bu yeni tip zararlı yazılımın ilk kez Rusya’da tespit edildiğini ancak hızla dünyanın başka ülkelerine yayılabileceğini söyledi.
Nasıl dağılıyor?
Akıllı cep telefolarını hedef alan Kyrsanec, kendini popüler olan ve yasal gibi görünen uygulamaların içinde maskeliyor. Ağırlıklı olarak ücretli popüler uygulamaların kırılmış versiyonlarında yer alıyor. Bu nedenle genellikle daha az güvenilir uygulama mağaza ve forumlarında rastlanıyor. Son olarak Rus Sberbank’ın mobil uygulaması olan MobileBank, 3G Trafik Koruyucu, hatta bazı antivirüs yazılımlarının sahte uygulamalarında tespit edildi.
Android sistemindeki güvenlik uygulaması
Aslında Android uygulama dünyası, zararlı değişikliklere karşı güvenilir bir karşı önlem sunuyor ve gerçek geliştiricilerin sertifikalarıyla uygulamaları dijital olarak imzalıyor. ESET’in tespitine göre saklanmış Krysanec çeşitleri, geçerli sertifikalar içermiyor. Ancak pek çok kez bu durum dikkatlerden kaçıyor.
Maalesef akıllı telefon kullanıcılarının bir bölümü, özellikle ücretli uygulamaların kırılmış versiyonlarını araştırırken, telefonlarına uygulama yükleme aşamasında yeterince dikkatli davranmayabiliyor. Bu durum da siber suçlular tarafından fırsat olarak değerlendiriliyor.
Bu bir ‘Uzaktan Erişim Aracı’
Krysanec, bir RAT (Remote Access Trojan) yani Uzaktan Erişim Aracı niteliğini taşıyor. Yani bu truva atı, akıllı telefonun C&C sunucusuna bağlanarak, cihazdan çeşitli verileri toplayabiliyor ve eklentilerini cihaza yükleyip çalıştırabiliyor.
Krysanec, telefondaki şu modüllere erişim sağlayabiliyor:
- Fotoğraflar
- Mikrofon aracılıyla ses kaydı
- Mevcut GPS lokasyonu
- Yüklenmiş uygulama listesi
- Açık internet sayfa listesi
- Aranan numaraların listesi
- Rehber
- SMS’ler
Google Play’den indirin ama orada da dikkat edin!
ESET Güvenlik Araştırmacısı Robert Lipovsky’ye göre “Bu tür yazılımlardan kaçınmanın en iyi yolu, olabildiğince bütün uygulamaların resmi Google Play mağazası gibi güvenilir kaynaklardan indirilmesidir. Ama orada bile, uygulama tarafından istenilen izinler dikkatle incelenerek indirme gerçekleştirilmelidir.”
Robert Lipovsky’nin analizi, şu linkten incelenebilir:
https://www.welivesecurity.com/2014/08/12/krysanec-trojan-android/