Uhale Android tabanlı dijital resim çerçeveleri çok sayıda kritik güvenlik açığıyla birlikte gelir ve bunlardan bazıları, önyükleme sırasında kötü amaçlı yazılım indirip çalıştırır.
Mobil güvenlik şirketi Quokka, Uhale uygulamasında derinlemesine bir güvenlik değerlendirmesi gerçekleştirdi ve Mezmess ve Voi1d kötü amaçlı yazılım aileleriyle bağlantı olduğunu düşündüren davranışlar buldu.
Araştırmacılar sorunları, çok sayıda farklı markanın dijital fotoğraf çerçevelerinde kullanılan Uhale platformunun arkasındaki Çinli firma olan ZEASN’e (şimdiki adı ‘Whale TV’) bildirdi, ancak Mayıs ayından bu yana çok sayıda bildirime yanıt alamadı.
Otomatik kötü amaçlı yazılım teslimi
En endişe verici bulgulardan başlayarak, analiz edilen Uhale fotoğraf çerçevelerinin çoğu, açılışta Çin merkezli sunuculardan kötü amaçlı yükler indiriyor.
Quokka araştırmacıları raporda, “Başlatmanın ardından incelenen çerçevelerin çoğu, Uhale uygulamasının 4.2.0 sürümünü kontrol ediyor ve bu sürüme güncelliyor” diyor.
“Cihaz daha sonra bu yeni sürümü yüklüyor ve yeniden başlatılıyor. Yeniden başlatmanın ardından güncellenen Uhale uygulaması, kötü amaçlı yazılımın indirilmesini ve çalıştırılmasını başlatıyor.”
Uhale uygulamasının dosya dizini altına kaydedilen indirilen JAR/DEX dosyası, sonraki her önyüklemede yüklenir ve yürütülür.
Quokka’nın incelediği cihazlarda SELinux güvenlik modülü devre dışı bırakılmış, varsayılan olarak rootlanmış halde gelmiş ve birçok sistem bileşeni AOSP test anahtarlarıyla imzalanmıştır.
Kaynak: Quokka
Araştırmacılar, indirilen veri yüklerini, paket öneklerine, dize adlarına, uç noktalara, teslimat iş akışına ve yapı konumlarına dayalı olarak Vo1d botnet ve Mzmess kötü amaçlı yazılım ailelerine bağlayan kanıtlar buldu.
Ancak cihazlara nasıl bulaştığı bilinmiyor.
Kaynak: Quokka
Çoklu güvenlik açıkları
Araştırmacılar, Uhale markalı resim çerçevelerinin tamamında meydana gelmeyen kötü amaçlı yazılım dağıtımının yanı sıra bir düzineden fazla güvenlik açığı da keşfetti.
Quokka’nın raporda açıkladığı 17 güvenlik sorunu arasında, bunlardan 11’ine CVE-ID atanmış olup en önemlileri aşağıdadır:
- CVE-2025-58392 / CVE-2025-58397 – Güvenli olmayan bir TrustManager uygulaması, sahte şifrelenmiş yanıtların ortadaki adam enjeksiyonuna izin vererek, etkilenen cihazlarda root olarak uzaktan kod yürütülmesine olanak tanır.
- CVE-2025-58388 – Uygulamanın güncelleme işlemi, temizlenmemiş dosya adlarını doğrudan kabuk komutlarına aktararak komut enjeksiyonunu ve isteğe bağlı APK’ların uzaktan kurulumunu mümkün kılar.
- CVE-2025-58394 – Test edilen tüm çerçeveler SELinux devre dışı bırakılmış olarak gönderilir, varsayılan olarak root’ludur ve genel AOSP test anahtarlarını kullanır, böylece kutudan çıktığı anda esas olarak tamamen tehlikeye atılırlar.
- CVE-2025-58396 – Önceden yüklenmiş uygulama, TCP bağlantı noktası 17802’de, kimliği doğrulanmamış yüklemeleri kabul eden ve herhangi bir yerel ağ ana bilgisayarının isteğe bağlı dosyalar yazmasına veya silmesine olanak tanıyan bir dosya sunucusunu açığa çıkarır.
- CVE-2025-58390 – Uygulamanın Web Görünümleri, SSL/TLS hatalarını yok sayar ve karışık içeriğe izin vererek, saldırganların cihazda görüntülenen verileri enjekte etmesine veya ele geçirmesine, kimlik avına veya içerik sahteciliğine olanak tanır.
- Sabit kodlanmış AES anahtarı (DE252F9AC7624D723212E7E70972134D) sdkbin yanıtlarının şifresini çözmek için kullanılır.
- Çeşitli modeller şunları içerir: Adups, bileşenleri ve güncel olmayan kitaplıkları güncelleruygulama aynı zamanda zayıf kripto kalıpları ve sabit kodlanmış anahtarlarTedarik zinciri riskleri yaratıyor.
Bu ürünlerin çoğu, kullandıkları platform belirtilmeden çeşitli markalar altında pazarlanıp satıldığından, potansiyel olarak etkilenen kullanıcıların kesin sayısını tahmin etmek zordur.
Uhale uygulamasının Google Play’de 500.000’den fazla indirilmesi ve App Store’da 11.000 kullanıcı yorumu bulunmaktadır. Amazon’da Uhale markalı fotoğraf çerçeveleri bine yakın kullanıcı yorumuna sahip.
BleepingComputer bağımsız olarak ZEASN ile iletişime geçerek yorum talebinde bulundu ancak yayınlanma tarihine kadar bir yanıt alamadık.
Tüketicilerin yalnızca cihaz yazılımı değişiklikleri, Google Play hizmetleri ve yerleşik kötü amaçlı yazılım koruması olmadan resmi Android görsellerini kullanan saygın markaların elektronik cihazlarını satın almaları önerilir.
Bütçe mevsimi! 300’den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026’ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.