.jpg)
Almanya Federal Bilgi Güvenliği Dairesi (BSI), ülkede satılan 30.000’den fazla Android IoT cihazına önceden yüklenmiş olan BadBox kötü amaçlı yazılım operasyonunu kesintiye uğrattı.
Etkilenen cihaz türleri arasında dijital resim çerçeveleri, medya oynatıcılar ve yayıncılar ile potansiyel olarak akıllı telefonlar ve tabletler yer alıyor.
BadBox, internete bağlı bir cihazın donanım yazılımına önceden yüklenmiş olarak gelen ve verileri çalmak, ek kötü amaçlı yazılım yüklemek veya tehdit aktörlerinin cihazın bulunduğu ağa uzaktan erişim sağlaması için kullanılan bir Android kötü amaçlı yazılımıdır.
Virüs bulaşmış bir cihaz internete ilk bağlandığında, kötü amaçlı yazılım, tehdit aktörleri tarafından çalıştırılan bir uzaktan komuta ve kontrol sunucusuyla iletişim kurmaya çalışacak. Bu uzak sunucu, BadBox kötü amaçlı yazılımına cihazda hangi kötü amaçlı hizmetlerin çalıştırılması gerektiğini söyleyecek ve ayrıca ağdan çalınan verileri alacaktır.
BSI, kötü amaçlı yazılımın iki faktörlü kimlik doğrulama kodlarını çalabileceğini, daha fazla kötü amaçlı yazılım yükleyebileceğini ve sahte haberleri yaymak için e-posta ve mesajlaşma platformu hesapları oluşturabileceğini söylüyor. Ayrıca arka planda reklamları yükleyip tıklayarak reklam sahtekarlığına da girişebilir ve dolandırıcılık halkalarından gelir elde edebilir.
Son olarak, BadBox bir proxy görevi görecek şekilde ayarlanabilir ve diğer kişilerin kendi trafiğini yönlendirmek için cihazın internet bant genişliğini ve donanımını kullanmasına olanak tanır. Konut proxy’si olarak bilinen bu taktik genellikle kullanıcının IP adresini içeren yasa dışı işlemleri içerir.
Almanya’nın siber güvenlik kurumu, kötü amaçlı yazılımın saldırganın komuta ve kontrol sunucuları yerine polis kontrolündeki sunucularla iletişim kurmasını sağlamak için DNS sorgularını derinleştirerek BadBox kötü amaçlı yazılım cihazları ile komuta ve kontrol (C2) altyapısı arasındaki iletişimi engellediğini söyledi.
Sinkholing, kötü amaçlı yazılımın saldırganlara çalınan verileri göndermesini ve virüslü cihazda yürütülecek yeni komutlar almasını önleyerek kötü amaçlı yazılımın çalışmasını etkili bir şekilde engeller.
BSI’nin duyurusunda “BSI şu anda etkilenen cihazların iletişimini, BSI Yasası’nın (BSIG) 7c Bölümü uyarınca bir çukur önleme önleminin parçası olarak faillerin kontrol sunucularına yeniden yönlendiriyor” yazıyor.
“Bu, 100.000’den fazla müşterisi olan sağlayıcıları etkiliyor (çukurlaşma hakkında daha fazla bilgi). BSI batma önlemini sürdürdüğü sürece bu cihazlar için ciddi bir tehlike yoktur.”
Virüs bulaşmış cihaz sahipleri bilgilendirilecek
Bu çöküntü operasyonundan etkilenen cihaz sahipleri, internet servis sağlayıcıları tarafından IP adreslerine göre bilgilendirilecek.
Ajans, bildirim alan herkesin derhal cihazın ağ bağlantısını kesmesi veya kullanmayı bırakması gerektiğini söylüyor. Ne yazık ki, kötü amaçlı yazılım, cihaz yazılımıyla önceden yüklenmiş olarak geldiğinden, cihazın üreticisinin sunduğu diğer cihaz yazılımına güvenilmemeli ve cihaz iade edilmeli veya atılmalıdır.
BSI, etkilenen tüm cihazların eski Android sürümlerini ve eski donanım yazılımlarını çalıştırdığını, dolayısıyla BadBox’a karşı korunsalar bile çevrimiçi ortamda açığa çıktıkları sürece diğer botnet kötü amaçlı yazılımlarına karşı savunmasız kaldıklarını belirtiyor.
BSI Başkanı Claudia Plattner, “İnternet özellikli ürünlerdeki kötü amaçlı yazılımlar ne yazık ki nadir görülen bir durum değil. Özellikle güncel olmayan ürün yazılımı sürümleri büyük bir risk oluşturuyor” diye uyardı. “Burada hepimize görev düşüyor: Üreticilerin ve perakendecilerin bu tür cihazların piyasaya çıkmamasını sağlamak gibi bir sorumluluğu var. Ancak tüketiciler de bir şeyler yapabilir: satın alırken siber güvenlik önemli bir kriter olmalı!”
Ayrıca duyuruda, Android IoT üreticileri ve cihaz yinelemeleri arasındaki büyük farklılıklar nedeniyle, ülkede BadBox veya benzeri kötü amaçlı yazılımların bulaştığı çok daha fazla cihazın mevcut olduğu ve BSI’nin bu kez tam olarak tespit edemediği belirtiliyor.
Bu, akıllı telefonları ve tabletleri, akıllı hoparlörleri, güvenlik kameralarını, akıllı TV’leri, yayın kutularını ve üretimden satış ağlarına kadar belirsiz bir yol izleyen çeşitli internet bağlantılı cihazları içerebilir.
Cihazınızın botnet kötü amaçlı yazılımından etkilendiğinin işaretleri arasında boştayken aşırı ısınma, rastgele performans düşüşleri, beklenmeyen ayar değişiklikleri, alışılmadık etkinlik ve bilinmeyen harici sunuculara bağlantılar yer alır.
Güncelliğini yitirmiş Android IoT riskini azaltmak için güvenilir bir satıcıdan ürün yazılımı görüntüsü yükleyin, gereksiz bağlantı özelliklerini kapatın ve cihazı kritik ağlardan izole tutun.
Genel olarak akıllı cihazları yalnızca saygın üreticilerden satın almanız ve uzun vadeli güvenlik desteği sunan ürünleri aramanız önerilir.