Siber Suçlar, Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suçlar
Trojan Arka Kapısını Barındıran Yepyeni Android Akıllı Telefonlar, Tabletler ve Bağlantılı TV’ler
Jayant Chakravarti (@JayJay_Tech), David Perera (@daveperera) •
7 Ekim 2023
Siber güvenlik araştırmacıları, TV yayın kutuları da dahil olmak üzere Çin’de üretilen on binlerce taklit Android ürününün, kötü amaçlı yazılım bulaşmış tüketicilere ulaştığını söylüyor. İnsani Güvenlik Çarşamba günü yayınlanan bir raporda, çevrimiçi reklam dolandırıcılığı planında ayda milyonlar kazandıran ilgili bir operasyonun da ortaya çıkarıldığını söylüyor.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Reklam dolandırıcılığı ağı çoğunlukla çökmüş durumda ve tedarik zinciri şeması şimdilik hareketsiz durumda. Human Security’nin bilgi güvenliği şefi Gavin Reid, Information Security Media Group’a, bilgisayar korsanlarının virüslü cihazlarına tekrar erişmeye çalışacağını söyledi.
New York City merkezli şirket, cihaza bulaşan sendikayı “Badbox”, reklam dolandırıcılığı planının arkasındaki Çinli grubu ise “Peachpit” olarak adlandırıyor.
Reid, “Bunun pek çok şey yapan insanlardan oluşan gevşek bir federasyon olduğunu tahmin ediyorum” dedi. Peachpit kötü amaçlı yazılımı, Badbox cihazlarında isteğe bağlı bir modüldür ancak reklam dolandırıcılığı düzenbazları, reklam görüntüleme ağlarına sahte envanter sunmak için Google ve Apple uygulama mağazalarındaki bağımsız bir dizi uygulamaya da komuta etti.
Reid, uygulama mağazası sağlayıcılarının Peachpit uygulamalarını itlaf ettiğini ve Badbox aktörlerinin virüslü cihazlardan kötü amaçlı modülleri sildiğini söyledi. “Bu adamların altındaki halıyı çıkardık” dedi. “Onları hapse attıramazsak, bunu artık onlar için karlı olmayacak hale getirelim.”
Reid tam zafer ilan etmiyor. Badbox cihazları hâlâ komuta ve kontrol sunucularına ping atıyor; bu da tehdit aktörlerinin muhtemelen dünya çapında tohumladıkları ucuz Android bot ağı için planları olduğu anlamına geliyor. “Altı ay içinde umarım size bu konuda daha fazla bilgi verebiliriz.”
İnsan Güvenliği, Badbox kötü amaçlı yazılımının cihazlara nasıl ulaştığını bilmiyor. Suç aktörlerinin telefonlar, tabletler ve akış cihazları dahil olmak üzere Android cihazlarını çalması ve bunları istenmeyen bir bonus olarak kötü amaçlı kodla tedarik zincirine yeniden yerleştirmesi mümkündür. En az bir Çinli üreticiyle gizli anlaşma yaparak ürün yazılımı arka kapısını doğrudan fabrika zeminine enjekte edebilirler. İnsani Güvenlik, Triada kötü amaçlı yazılımının bir çeşidi olan arka kapının bulaştığı “en az 200 farklı Android cihaz türünün” kanıtını buldu. Dünya çapında kaç cihazın kötü amaçlı yazılımı taşıdığını hesaplamak imkansız, ancak İnsani Güvenlik en az 74.000 virüslü cihaz gözlemlediğini söylüyor.
İlk olarak 2016 yılında Kaspersky tarafından analiz edilen Triada, işletim sistemine kök erişimi olan modüler bir Android Truva atıdır. Sıradan son kullanıcılar cihazlarına virüs bulaştığını bilemezler ve donanım yazılımı değiştirilemediğinde tek çare çöp kutusudur.
Google, 2019’da, bir üreticinin ek özellikler eklemek amacıyla sistem görüntüleme için üçüncü taraf bir satıcıya göndermesinin ardından Android cihazlarına arka kapı bulaştığını tespit ettiğini söyledi.
Badbox cihazları bir dizi kötü niyetli eylem gerçekleştirir. Vekil görevi görerek kötü aktörlere konut ağlarından bir çıkış noktası sağlarlar ve internet protokolü adreslerinin güvenlik ekipleri tarafından çocuk eldivenleriyle ele alınma olasılığı daha yüksektir. Tehdit aktörleri bunları, muhtemelen halı saha amaçlı sahte e-posta ve mesajlaşma hesapları oluşturmak için kullanıyor. Ve elbette Peachpit reklam dolandırıcılığı kötü amaçlı yazılımını da indirebilirler.
Human Security’nin tahminlerine göre Peachpit, Kasım 2022’deki zirvesinde yaratıcılarına ayda yaklaşık 2 milyon dolar kazandırdı. Badbox cihazlarında Peachpoint, reklamları kullanıcıya göstermeden oluşturmak için Android tarayıcı-lite WebView işlevini kullanır. Bilgisayar korsanları, reklam ölçümlerini taklit ederek, reklamların belirli uygulamalarda görüntüleniyormuş veya belirli web siteleri tarafından yönlendiriliyormuş gibi görünmesini sağlar. Ayrıca kaynak cihazı gizleyerek, reklamların belirli akıllı telefon modellerinde, masalarda veya yayın cihazlarında oluşturulduğunu ve kullanıcının reklamı gerçekten görebileceğini belirten yanlış veriler gönderiyorlar.
Peachpit aktörleri ayrıca Android, iOS ve yayın cihazı uygulama mağazalarında, satış için mevcut reklam envanterini toplayan programatik reklam yığınının bir bileşeni olan sahte bir tedarik tarafı platformuna sabit kodlu bağlantıya sahip 39 uygulama sundu. Reid, son derece otomatikleştirilmiş çevrimiçi reklamcılık dünyasındaki alıcıların, Peachpit botlarındaki reklamlar için para ödediklerine dair hiçbir fikirleri olmadığını söyledi.
“Bu reklam ağlarında o kadar çok veri dolaşıyor ki, gürültünün içinde saklanmak ne yazık ki kolaylaşıyor. İşte bu yüzden sahte uygulamalar ortaya koyuyorlar, bu yüzden ABD’deki yerleşik proxy ağlarından kaynaklanıyorlar.”
Badbox’ın bulaştığı cihazlarda yayınlanan reklamlarda olduğu gibi, Peachpit uygulaması taşıyan cihazların sahipleri de reklamları hiç görmemiş olabilir.
Reid, tüketicilerin herhangi bir yarı saygın e-ticaret sitesinde satılan malların güvenli olduğunu varsayması nedeniyle tedarik zinciri uzlaşmalarıyla mücadele etmenin zor olduğunu söyledi. “Durum böyle değil” dedi ve eğer bir tabletin fiyatı inanılmayacak kadar iyi görünüyorsa muhtemelen öyle olduğunu da sözlerine ekledi.