Android Uzaktan Erişim Aracı’nın (RAT) yeni tanımlanmış bir varyantı, Androrat, kritik bir siber güvenlik tehdidi olarak ortaya çıktı ve cihazın kilidi desenlerini, pimleri ve parolaları çalmak için sofistike tekniklerden yararlandı.
İlk olarak 2012 yılında açık kaynaklı bir üniversite projesi olarak belgelenen kötü amaçlı yazılım, Android güvenlik mekanizmalarını 15’e kadar atlayabilen silahlandırılmış bir araca dönüştü.
Siber güvenlik analistleri, 2016 yılında yamalı bir Linux çekirdek kusuru olan ancak hala milyonlarca güncelleştirilmemiş cihazda mevcut olan CVE-2015-1805 gibi güvenlik açıklarını hedefleyen istismar çerçevelerle entegrasyonunu gözlemlediler.
En son Androrat yinelemesi, üçüncü taraf mağazalar ve kimlik avı kampanyaları aracılığıyla dağıtılan damlalık uygulamalarıyla başlayan çok aşamalı bir enfeksiyon süreci kullanır.
Androrat’ın Yeni Taktikleri
Biri, bir hesap makinesi uygulaması olarak gizlenmiş ikinci aşamalı bir bileşenin kurulumunu tetikleyen bir yardımcı program olan “Çöpçü” olarak görüldü.
Yürütme üzerine, kötü amaçlı yazılım, Com.android.settings işlemine istismar enjekte etmek için System_Server izinlerini kötüye kullanır ve sessiz ayrıcalık artışını sağlar.
Anahtar teknik bileşenler şunları içerir:
Jest.ey karma ekstraksiyonu: Androrat hedefleri /data/system/gesture.key ve locksettings.db3, Kilit açma desenlerinin SHA-1 karmalarını saklayan dosyalar.
Sıkıştırma sonrası yürütülen ADB Pull komutları aracılığıyla, kötü amaçlı yazılım, özelleştirilebilir kelime listeleri (rockyou.txt) ve 4-8 basamaklı pinler için brute-force algoritmaları aracılığıyla sözlük saldırıları kullanan LockKnife gibi araçları kullanarak çevrimdışı çatlama için bu karmaları çıkarır.
Ekran Etkileşimi Bypass: Sıçan, kullanıcı etkileşimlerini simüle etmek için giriş TAP ve giriş kaydırma kabuğu komutlarını kullanır ve aktif desen/pim kimlik doğrulaması olan cihazlarda bile otomatik açma işlevselliğini sağlar.
Bellek enjeksiyonu: Android’in Biyonik LIBC’sinde PTRACE () güvenlik açıklarından yararlanarak, kötü amaçlı yazılım, Google Play Protect tarafından kaçınarak com.google.android.gms gibi meşru süreçlere enjekte eder.
X On X’te paylaşılan Post’a göre, Androrat artık aşağıdakileri içeren özellikleri içeriyor:
- Keylogger modülü: Kısıtlamalar, şifreli mesajlaşma uygulamalarında bile tuş vuruşlarını yakalamak için/dev/input/olaydan* olay akışları alır.
- Bildirimleri gizle ve sessiz hacmi: Antivirüs uygulamalarından güvenlik uyarılarını engellemek için NotificationListenerService kullanır.
- Dinamik DNS Geri dönüş: Birincil sunucular engellenirse C2 bağlantısını korumak için IMEI cihazından türetilen tohum değerlerini kullanarak bir etki alanı oluşturma algoritması (DGA) uygular.
Analistler, kötü amaçlı yazılımların biyometrikprompt API işlemlerini ele geçirerek parmak izi sensörleri olan cihazlardan biyometrik verileri yayma yeteneğini belgeledi.
Azaltma stratejileri
İşletmelere şunlara tavsiye edilir:
- IP aralıklarına olan trafiği engelleyin 185.130.104.[0-255] ve 194.87.92.[0-255]Androrat’ın C2 sunucuları ile ilişkili.
- Gesture.ey ile güvenilmeyen uygulama etkileşimleri için asla asla kuralları uygulamak Selinux politikalarını dağıtın.
- Anomalous SqlitedAtAabase sorguları için Monitör Kilitetleri Hedefleme.db, kimlik bilgisi döküm etkinliğinin bir imzası.
Androrat’ın evrimi, daha geniş bir akademik araç eğilimini silahlandırma eğilimini yansıtıyor. Orijinal 2012 kod tabanı, GPS izleme gibi zararsız özellikleri içeriyordu, ancak rootkit özelliklerinden yoksundu.
2025 varyantı, Dendroid ve Omnirat’tan kod parçalarını içeriyor ve Doğu Avrupa ve Güneydoğu Asya tehdit aktörleri arasında işbirliği öneriyor.
Android 15 sertleştirilmiş bekçi korumalarını tanıttığından, saldırganlar sosyal mühendisliğe odaklandı ve teknik önlemleri atlamak için “çöp kutusu” gibi güvenilir uygulamalardan yararlandı.
Ocak 2025’ten bu yana 12.000’den fazla enfeksiyon kaydedildiğinde, bu kampanya tüm Android OEM’lerde ürün yazılımı düzeyinde güvenlik güncellemelerinin kritik ihtiyacının altını çiziyor.
Siber güvenlik profesyonelleri, com.android.server.locksettings hedefleyen volatilite eklentileri kullanarak bellek dökümlerini analiz etmeye ve istek_companion_start_forground_services_from_background izinleri – Androrat enfeksiyonunun bariz bir belirtisi olan APK’ları incelemeleri istenir.