Google’ın geçen hafta yayınladığı yeni sürüm Android 13. Yeni Android 13, çeşitli güvenlik yükseltmeleri getiriyor ve özellikle Google, yeni sürümde Erişilebilirlik Hizmetinin kullanımını ‘kısıtladı’.
Ancak Threat Fabric, bu sınırlamaların üstesinden başarıyla geldiklerini ve yeni işletim sistemi sürümüne eklenen yeni kısıtlamalardan kaçınmayı başardıklarını söylüyor.
Android 13’ün Kısıtlı Ayar Özelliği
Erişilebilirlik Hizmeti, engelli kullanıcılara Android cihazlarını ve uygulamalarını kullanma konusunda yardımcı olur. Kullanıcıların ekrandaki bilgileri işlemelerine yardımcı olan ve bir cihazla anlamlı bir şekilde etkileşim kurmalarını sağlayan, uzun süredir devam eden ayrıcalıklı bir hizmettir.
Android 13’ün beta sürümü, üçüncü taraf kaynaklardan yüklenen uygulamaların Erişilebilirlik Hizmeti’ni etkinleştirmeye yönelik yeni bir yaklaşım sunar. Bu yeni seçeneğe, Erişilebilirlik Hizmeti’ni içeren “kısıtlı ayarlar” adı verilir.
Android’in önceki sürümlerinde, kötü amaçlı yazılım, meşru uygulamalar gibi görünen Play Store’da bulunan cihazların veya damlalıklı uygulamaların içinde yolunu buldu. Bu nedenle, kullanıcı bu tür kötü amaçlı yazılım uygulamaları yüklediğinde, kullanıcılardan Erişilebilirlik Hizmeti ayrıcalıklarını kötüye kullanarak tehlikeli etkinliklere erişim izni vermelerini ve kötü amaçlı yükleri bırakmalarını ister.
ThreatFabric araştırmacıları, biri damlalık gibi davranan, ikincisi ise kurulum sürecinde küçük bir değişiklikle farklı bir teknik kullanan iki kavram kanıtı uygulamasını gösterdi. Araştırmacılar, ikinci PoC uygulamasında kısıtlı ayarlardan kaçınmayı başardılar.
Threat Fabric’teki araştırmacılar, şu anda geliştirilmekte olan daha önce belgelenmemiş bir Android dropper truva atı tespit ettiler.
ThreatFabric, “Bu yeni kötü amaçlı yazılım, son derece tehlikeli Xenomorph bankacılık truva atını yaymak için Android kötü amaçlı yazılımlarında daha önce görülmeyen yeni bir teknik kullanarak cihazları kötüye kullanmaya çalışıyor ve suçluların kurbanın cihazlarında Cihaz Üzerinde Dolandırıcılık yapmasına izin veriyor.”
Google’ın güvenlik Kontrollerini aşmaya çalışan ilk kötü amaçlı yazılım ‘Bugdrop’ olarak adlandırıldı. Kötü amaçlı yazılımların kurbanlardan Erişilebilirlik Hizmetleri ayrıcalıkları istemesini zorlaştırmayı amaçlayan ve Android’in gelecek sürümünde tanıtılan yeni özellikleri ortadan kaldırmak için tasarlanmıştır.
Bu damlalık, bilgisayar korsanı forumlarında dolaşan, ancak yükleyici işlevinin bir dizisinde değişiklik yapılan, ücretsiz olarak dağıtılan bir kötü amaçlı yazılım geliştirme eğitim projesi olan Brox’a benzer bir kod içerir.
Threat Fabric, “Dikkatimizi çeken şey, “com.example.android.apis.content.SESSION_API_PACKAGE_INSTALLED” dizesinin Smali kodundaki varlığıdır” diye açıklıyor.
“Orijinal Brox kodunda bulunmayan bu dize, oturuma göre bir yükleme işlemi oluşturma niyetlerinin gerektirdiği eyleme karşılık gelir.”
Google, yandan yüklenen uygulamaların Erişilebilirlik Hizmetleri ayrıcalıkları istemesini engelleyen ve bu tür istekleri oturum tabanlı bir API ile yüklenen uygulamalarla sınırlayan “kısıtlı ayar” özelliğini tanıttı.
Azaltma
Şirket, “Gerçek etkiyi gerçekleştirmek ve kayıpları önlemek için, müşterilerin cihazlarına bulaşan kötü amaçlı yazılımlarda görünürlük elde etmek için uygun bir çözüm bulunmalıdır” diyor.
Bu nedenle, uygun cihaz üzerinde kötü amaçlı yazılım tespiti, dağıtım kanallarında görünürlük kazanmaya ve farkındalıklarını artırmak için müşterileri yeni dağıtım kampanyaları hakkında proaktif olarak bilgilendirmeye de yardımcı olur.
Davranışsal biyometriye dayalı sürekli kimlik doğrulama, her hesap için Ti tabanlı risk puanı için harika bir kaynaktır ve finansal kuruluşlar için dolandırıcılığın tespit edilmesini ve önlenmesini kolaylaştırır.
Ayrıca Okuyun: Ücretsiz Güvenli Web Filtrelemeyi İndirin – E-kitap