Android kullanıcıları, kötü niyetli aktörler, cihazlara yetkisiz erişim elde etmek için meşru sistem özelliklerinden giderek daha fazla yararlanıyor.
Saldırganların ayrıcalık yükseltme saldırıları gerçekleştirme izinlerinden (OEM) izinlerden yararlanarak geleneksel güvenlik önlemlerini atlayan güvenlik açıkları yarattığı bir eğilim ortaya çıktı.
Bu saldırı vektörü, mobil tehditlerde önemli bir evrimi temsil eder, çünkü sadece geleneksel istismar tekniklerine güvenmek yerine meşru kanallar kullanır.
.png
)
Tehdit, hem kullanıcılar hem de güvenlik sistemleri için meşru görünen mekanizmalar aracılığıyla aşırı ayrıcalıklar elde ederek faaliyet gösterir.
Bunlar, Google Play Store Güvenlik Kontrollerini atlatan kenar yüklü uygulamaları ve yüksek ayrıcalıklarla birlikte gelen cihaz üreticileri tarafından önceden yüklenen uygulamaları içerir.
Bu saldırıları özellikle tehlikeli kılan şey, bireysel olarak bakıldığında teknik olarak meşru olan izinleri kullandıkları için standart algılama sistemlerini tetiklemeden çalışma yetenekleridir.
Zimperium güvenlik araştırmacıları, bu saldırıların genellikle, ayrı ayrı, tek başına kullanıldığında tehlikeli yetenekler yaratan birden fazla izin birleştirdiğini belirledi.
.webp)
Analizleri, sistem düzeyinde izinlerin kombinasyonlarını talep eden uygulamaların, geleneksel güvenlik açıklarından yararlanmadan cihazların kontrolünü etkili bir şekilde ele geçirebileceğini ortaya koydu.
Bu saldırıların etkisi, bireysel kullanıcıların ötesinde, tehlikeye atılan cihazların daha geniş ağ altyapısına giriş puanları olarak hizmet edebileceği kurumsal ortamlara kadar uzanmaktadır.
Saldırganlar bir cihaza ayrıcalıklı erişim kazandıktan sonra, hassas verileri kesebilir, kimlik doğrulama kimlik bilgilerini yakalayabilir ve potansiyel olarak bağlı sistemlere dönebilir.
Bu saldırıların gizli doğası, onları özellikle kendi cihazınızı (BYOD) politikalarınızı getiren kuruluşlar için algılamaktadır.
Cihaz üreticileri, Android’in standart güvenlik modelini atlayarak kapsamlı sistem erişimi sağlayan özel izinler ekleyerek soruna yanlışlıkla katkıda bulunur.
Örneğin, bazı OEM izinleri, uygulamaların güvenlik politikalarını değiştirmesine ve donanım düzeyinde erişim kazanmasına izin vererek kötü amaçlı sömürü için fırsatlar yaratır.
Erişilebilirlik API kötüye kullanımı yoluyla enfeksiyon mekanizması
Birincil enfeksiyon vektörü, aslında engelli kullanıcılara yardımcı olmak için tasarlanmış güçlü bir araç olan Android’in erişilebilirlik API’sinden yararlanır.
Kötü amaçlı uygulamalar, ekran içeriğini okumalarını ve kullanıcı adına giriş yapmalarını sağlayan bu API’ya erişim talep eder.
Saldırganlar verildikten sonra kullanıcı etkileşimlerini izleyebilir, hassas bilgileri yakalayabilir ve kullanıcı farkındalığı olmadan eylemleri otomatikleştirebilir.
Android’in “kısıtlı ayarları” koruma mekanizmasını atlamak için saldırganlar, oturum tabanlı kurulum yöntemlerini kullanarak sofistike bir teknik kullanıyor.
.webp)
Android 13, yan yüklenmiş uygulamalar için erişilebilirlik API erişimi konusunda kısıtlamalar uygularken, kötü amaçlı aktörler genellikle meşru uygulama mağazaları tarafından kullanılan oturum tabanlı kurulum yöntemini kullanarak bunu atlatır. Bu kötü amaçlı uygulamalarda aşağıdaki kod modeli genellikle tanımlanır:
InMemoryDexClassLoader loader = new InMemoryDexClassLoader(
ByteBuffer.wrap(dexBytes),
getClassLoader()
);Bu kod snippet, kötü amaçlı uygulamaların kurulumdan sonra yürütülebilir kodu nasıl dinamik olarak yüklediğini gösterir ve güvenlik kontrolleri tamamlanıncaya kadar gerçek işlevselliklerini etkili bir şekilde gizler.
.webp)
Zimperium’un uygulama veterinerlik işlemi, toplu olarak bu davranışı sergileyen milyonlarca indirme ile birkaç daha temiz uygulama tanımladı ve görünüşte meşru uygulamaları bankacılık truva atlarına dönüştüren komut ve kontrol sunucularından kötü amaçlı kod yükledi.
Saldırganlar, özellikle kullanıcı eylemlerini izlemek için System_alert_window, Accessiblity_Service ve Sistem ayarlarını değiştirmek için write_secure_settings gibi izin kombinasyonlarını özellikle hedefler.
Bu izinler birlikte, kötü amaçlı yazılımların sahte kullanıcı arayüzü öğeleri görüntülemesini, kullanıcı kimlik bilgilerini yakalamasını ve kullanıcı farkındalığı olmadan sistem ayarlarını değiştirmesini sağlar.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin