Mobil dünyada artan virüs ve malware tehditleri Android platformuna da sıçradı. Android işletim sistemli cep telefonlarında bulunan malware saldırılarına karşı Trend Micro bir bildiri yayınladı. Firmanın Türkiye distribütörü olan Helyum Bilişim‘den Elvan Güleç, Mark Balanza‘nın hazırladığı bu uyarıyı derledi.
Androdiler’de SMS’leri sildiğine ya da SMS mesajları gönderdiğine şahit olmuştuk fakat, Androidler’deki kötücül yazılımların SMS göndericisi gibi çalıştıklarına şahit olmamıştık.
Trend Micro Tehdit Analisti Mark Balanza; “Meslektaşlarım ve ben, mesaj gönderirken ve alırken vekil olarak virüslü bir cihazı kullanan kötücül bir Android yazılımı örneğini inceliyoruz. Son zamanlarda gördüğümüz Android tehditlerinin aksine, bu seferki yasal Android uygulamalarında eklenti olarak çalışmak yerine, yükleme sırasında sadece bir anlık bir pencere açıp kapayarak sistemde barınıyor.” Açıklamasında bulundu.
Bu kötücül yazılım, Flash Service adından bir işletim sistemi yüklüyor. Bu işletim sistemi, bilgisayar açıldığında başlayan Flash Receiver ve bilgisayar başlatıldığında ya da bir SMS mesajı aldığında harekete geçen SMS Receiver adında iki adet alıcıyı çalıştırıyor ve Flash Service işletim sistemini başlatıyor.
Alıcılar, belirli bir komut mesajı aldığında o komutu yürütülebilecek işleve sahiptirler. Örneğin çok basit bir konuyu düşünün. Bir cihaz SMS mesajı aldığında, onun işletim sistemi bu olayı yayınlayarak alıcı fonksiyonlarının çalışmasını sağlayabilir.
Flash Service, cihazın sunucusuyla iletişime geçmesine izin veriyor. Bahsettiğimiz gibi, bu sistem bilgisayar başlatıldığında, bir .XML dosyası indirmek yerine belirli bir URL’ye bağlanıldığında çalışıyor. Aşağıda bu .XML dosyasının kodunu görebilirsiniz.
Gönderilen Öğe
Yapılandırma dosyasındaki ilginç maddelerden birisi de gönderilen öğedir. Sunucu, içerisine genellikle bilgi koymaz. Yine de, bu kötücül yazılımın kodlarına baktığımda, numara niteliğinde olan ve metin içerisinde bir dizilim içeren bir mobil numarayı kabul edebilir görünüyorlar.
Burada olan ise şu: Kötücül yazılımın sahibi kişi, yapılandırma dosyasına, “Bu bir SMS mesajıdır” şeklinde bir kod yazarsa; bu kötücül yazılım, mesajı istenen numaraya “Bu bir SMS mesajıdır” şeklinde gönderecektir. Bahsedilen maddelerden birini içeren her hangi bir metin SMS gövdesi, numara niteliği taşıyan her hangi bir numara da alıcı olabilir.
Buna rağmen, bu yapı için sadece SMS mesajı gönderebilir diyebiliriz. Bir gönderici olarak çalışmasının yerine, alıcı cevap verdiğinde SMS mesajını iletebiliyor. Burada SMS Receiver devreye giriyor. SMS Receiver, SMS mesajını gönderenin yapılandırma dosyasındaki ile aynı olup olmadığını kontrol ediyor. Öyle olduğu takdirde, SMS gövdesini alıp URL yardımıyla sunucusuna gönderiyor. Gönderdikten sonra ise bu mesaj siliniyor, dolayısıyla etkilenen cihazın kullanıcısı bunu fark edemiyor.
Olası Tehlikeler
Gördüğümüz kadarıyla, bu kötücül yazılım üç nedenden ötürü kullanılıyor. Bunlardan ilki, ücretli servisleri kötüye kullanma amacını içeriyor. Kötücül yazılımı üreten kişi, cihaza kendi açtığı bir açıktan girerek, bu cihazın ücretli servislerini başlatabilir ve SMS’le gelebilecek bildirimleri bile silebilir.
İkinci olarak hedeflenen cihazlar için casusluk yapmak amacıyla kullanıldığını söyleyebiliriz. Belirli bir numara tarafından bu SMS mesajı alınırsa, SMS gövdesi numarayı sunucusuna yükler.
Üçüncü ve son olanında ise, SMS mesajları için bir proxy server olarak kullanılabilir. Bunun sonucunda da kötücül yazılımın sahibi, etkilenen cihaz üzerinden SMS alıp, gönderebilir.
Cihazınıza virüs bulaştığını nasıl anlayabilirsiniz?
Ayarlar > Uygulamalar > Kullanılan Servisler ‘e gidin. Flash Service içeren bir uygulama olup olmadığını kontrol edin.
Eğer böyle bir uygulama bulursanız, manuel olarak Ayarlar > Uygulamalar > Uygulamaları Yönet mödülünden uygulamayı kaldırabilirsiniz.
Bu kötücül yazılım AndroidOS_CRUSEWIN.A olarak adlandırıldı. Bu gibi durumlarda Trend Micro, Android kullanıcıları için Mobile Security for Android çözümünü öneriyor.
Fırsat Ürünleri
