ClayRat adı verilen tehlikeli yeni bir Android casus yazılım çeşidi, dünya çapında mobil cihaz güvenliğine yönelik önemli bir tehdit olarak ortaya çıktı.
İlk olarak Ekim ayında zLabs ekibi tarafından tanımlanan bu kötü amaçlı yazılım, saldırganların virüslü cihazlar üzerinde neredeyse tam kontrol elde etmesine olanak tanıyan yeteneklerle mobil tehditlerde endişe verici bir evrimi temsil ediyor.
Casus yazılım, hassas kişisel verileri çalmak ve bunu aksi takdirde tespit edip kaldırabilecek kurbanlardan gizlenmek için gelişmiş teknikler gösterir.
ClayRat, YouTube gibi popüler platformlar ve mesajlaşma uygulamalarının yanı sıra Rus taksi ve park uygulamaları gibi yerelleştirilmiş hizmetler de dahil olmak üzere meşru uygulamaları taklit ederek çalışır.
Kötü amaçlı yazılım öncelikle, halihazırda aktif olan ve kötü amaçlı dosyalar barındıran 25’ten fazla sahte alanın bulunduğu kimlik avı web siteleri aracılığıyla yayılıyor.
Ek olarak, Dropbox gibi bulut depolama hizmetlerinin kötü amaçlı yazılımı dağıtarak erişim alanını önemli ölçüde genişlettiği gözlemlendi.
Araştırmacılar zaten etkileyici derecede kısa bir zaman diliminde 700’den fazla benzersiz APK dosyası tespit etti; bu da büyük ölçekli bir dağıtım kampanyasına işaret ediyor.
.webp)
Kötü amaçlı yazılım, SMS ve erişilebilirlik özellikleri için izin isteyen aldatıcı kurulum istemleri yoluyla cihazlara giriyor.
Zimperium güvenlik analistleri, ClayRat’ın Android güvenlik kısıtlamalarını aşmak için gelişmiş bir düşürme tekniği kullandığını tespit etti.
Şifrelenmiş veri, uygulamanın varlıklar klasöründe depolanır ve çalışma zamanı sırasında kendisini paketinden çıkarmak için gömülü anahtarlarla AES/CBC şifre çözmeyi kullanır, bu da standart güvenlik önlemleri için algılamayı oldukça zorlaştırır.
.webp)
ClayRat kurulduktan sonra, kullanıcılardan varsayılan SMS izinlerinin yanı sıra Erişilebilirlik Hizmetlerini de etkinleştirmelerini isteyerek ayrıcalıklarını artırır.
Bu izin kombinasyonu, saldırganların cihazdan kapsamlı bir şekilde yararlanması için tehlikeli bir pencere oluşturur.
Erişilebilirlik Hizmetinin Kötüye Kullanımı Yoluyla Kalıcılık Taktikleri
Yeni varyant, Erişilebilirlik Hizmetlerinin aşırı şekilde kötüye kullanılması yoluyla yeteneklerini önemli ölçüde genişletiyor.
Gerekli izinler alındıktan sonra kötü amaçlı yazılım, otomatik ekran tıklamaları yoluyla Play Store’u otomatik olarak devre dışı bırakır ve kullanıcının bilgisi olmadan Google Play Koruma güvenlik korumalarını kaldırır.
Casus yazılım, düğmeye basma ve desen hareketleri de dahil olmak üzere tüm kilit ekranı etkileşimlerini izler; PIN kodlarını, şifreleri ve desenleri olağanüstü bir doğrulukla yeniden oluşturur.
.webp)
Kurbanlar kimlik bilgilerini girdiğinde, kötü amaçlı yazılım bu bilgiyi lock_password_storage anahtarının altındaki SharedPreferences’ta yakalar.
Kötü amaçlı yazılım, saklanan kimlik bilgilerini kullanarak, cihazın kilidini otomatik olarak açmak için hareketler gönderen bir auto_unlock komutunu çalıştırarak kurbanın kilit ekranı aracılığıyla enfeksiyonu tespit etme yeteneğini tamamen ortadan kaldırır.
Bu teknik, ClayRat’ın cihaz güvenliği önlemlerine bakılmaksızın kalıcı erişimi sürdürmesini sağlar.
Ayrıca kötü amaçlı yazılım, cihazın kamerasını kullanarak fotoğraf çekiyor, MediaProjection API’leri aracılığıyla ekran içeriğini kaydediyor, SMS mesajlarını ve arama kayıtlarını çalıyor ve kullanıcılardan gelen hassas yanıtları engellemek için sahte bildirimler oluşturuyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
