Son zamanlarda saklanmış virüs (trojan) içeren yeni bir Android uygulaması örneğini tartışma şansımız olmuştu. Bugün bir diğerini daha göz önünde bulundurmamız gerektiğini anladık. Bu yeni Andorid kötücülü, Gold Dream olarak biliniyor ve Trend Micro tarafından ANDROIDOS_SPYGOLD.A olarak saptandı.

Bu saldırıdaki trojan içeren atak Fast Racing adında bir araba yarışı oyunu. Bir oyuna göre bu trojan içeren versiyon, kendi benzeri oyunlara ya da eklentilere göre çok daha fazla erişim izni istiyor.

Uygulama yüklendikten sonra telefon başlatıldığında; Market adında bir hizmetle karşılaşıyorsunuz. Bu hizmet muhtemelen kötücülü yaratan kişi tarafından, kötücülün zararsız gibi gözükmesi için yapılan bir hile.

Daha önce saptanan Android kötücülleri gibi, bu seferki de kullanıcının gelen mesajlarını görüntülüyor. Bir mesaj geldiğinde, mesajın içeriğini ve gönderen bilgilerini bir .TXT dosyasına kaydediyor ve zjsms.txt olarak kaydediyor. Ayrıca gelen ve giden çağrıları da ziphonecall.txt olarak saklıyor.

Neler Yapılması Lazım?

Bu kötücül aynı zamanda http://{BLOCKED}r.gicp.net uzantısında yer alan, uzaktan emir verilip kontrol edilebilen (C&C) bir sunucuyla da iletişim kuruyor. Daha önce, virüsün içinde yazılı olarak gelen URL’ye bağlanan kötücüllerin aksine, bu seferki gelecek komuta göre farklı sunucu ve adreslere bağlantı sağlayabiliyor. Bunların yanı sıra kendini güncelleştirebiliyor ve her hangi bir virüs algılayan programdan da kaçmaya, görünmemeye çalışıyor.

C&C sunucusuna rağmen, ev telefonuna göre arama yapabiliyor ve cihaz ID’si, abonenin ID’si ya da kartın seri numarası gibi cihaz bilgilerini http://{C&C server}/zj/RegistUid.aspx uzantısına gönderebiliyor. Ayrıca, http://{C&C server}/zj/allotWorkTask.aspx uzantısına ulaşıp, bir sunucudan komut alırsa, aramaları ve yazılı mesaj kayıtlarını da içeren dosyaları http://{C&C server}/zj/upload/UploadFiles.aspx uzantısına yükleyebiliyor. Sunucuları değiştirmek ve güncellemeleri yüklemenin yanı sıra, aşağıdaki komutları da alabiliyor:

  • Yükleme / kaldırma uygulamaları
  • Arama yapma
  • Yazılı mesaj gönderme

Görünüşe göre, Androidler için kötücül yazılım yazmaya başlayanlar, PC’den mobile geçerek kendilerine yeni bir ortam daha yaratmış oldular.

Kaynak: http://blog.trendmicro.com/new-android-malware-on-the-road-golddream-catcher/