Doctor Web’den araştırmacılar, WhatsApp ve WhatsApp Business mesajlaşma uygulamalarını hedefleyen bütçeli Android cihaz modellerinin sistem bölümünde arka kapıları belirledi. Bu kötü amaçlı yazılım, saldırganların çeşitli kötü niyetli faaliyetler gerçekleştirmesine izin verebilir.
“Bunlar arasında sohbetlerin dinlenmesi ve içlerinde bulunabilecek gizli bilgilerin çalınması var; bu kötü amaçlı yazılım ayrıca spam kampanyaları ve çeşitli dolandırıcılık düzenleri de yürütebilir. Ancak bu, kullanıcılar için tek risk faktörü değil.” Doctor Web tarafından yayınlanan yazıyı okur.
Bu durumda, etkilenen cihazlarda modern ve güvenli Android işletim sistemi sürümlerinin yüklü olduğu iddia edilir. Uzmanlar, birden fazla güvenlik açığına maruz kalan eski bir sürüme dayandıklarını söylüyor.
Temmuz 2022’de Doctor Web bu kötü niyetli kampanyadan ancak birkaç kullanıcının Android cihazlarındaki şüpheli etkinlikleri bildirmek için şirketle iletişime geçmesinden sonra haberdar oldu.
Doctor Web, “Birkaç kullanıcı, Android akıllı telefonlarındaki şüpheli etkinlikle ilgili şikayetler için Doctor Web’in anti-virüs laboratuvarıyla iletişime geçti”, Doctor Web.
Özellikle, Doctor Web Anti-Virus sistem depolama alanında ve sistem bölümünde aynı kötü amaçlı yazılımın görünümündeki değişiklikleri tespit etti. Araştırmacılar, saldırıya uğrayan cihazların popüler marka modellerinin kopyaları olduğunu söylüyor.
Etkilenen Modeller
- [«P48pro»]
- [«radmi note 8»]
- [«Note30u»]
- [«Mate40»]
Araştırmacılar, tüm cihazların en son işletim sistemi sürümleri yerine eski işletim sistemi sürümlerini (yani Android 4.4.2 sürümü) çalıştırdığını fark etti. Üstelik bu modellerin isimleri, ünlü üreticilerin ürettiği bazı modellerin isimleriyle uyumlu.
Dr.Web Anti-Virus Aşağıdaki Nesnelerde Değişiklikler Algıladı:
- /system/lib/libcutils.so
- /system/lib/libmtd.so
nesne libcutils[.]tasarım gereği zararsız olan bir sistem kitaplığı da öyle. Ancak herhangi bir uygulama tarafından kullanıldığında, libmtd’den bir truva atı[.]yani dosya başlatılır. Dr.Web, bu sistem kitaplığının değiştirilmiş sürümünü Android.BackDoor.3105 olarak algılar.
Daha sonra, libmtd[.]bu nedenle truva atı kitaplığı Android.BackDoor.3104 olarak adlandırılır, gerçekleştirdiği eylemler libcutils’i hangi programın kullandığına bağlıdır.[.]yani kütüphane. Bu nedenle, WhatsApp ve WhatsApp Business habercileri veya “Ayarlar” ve “Telefon” sistem uygulamaları onu kullanıyorsa, Android.BackDoor.3104 enfeksiyonun ikinci aşamasına geçer.
Şu anda, truva atı başka bir arka kapıyı uygun uygulamanın dizinine kopyalar ve başlatır. Araştırmacılar, bu bileşenin birincil işlevinin ek kötü amaçlı modüller indirip yüklemek olduğunu ve bu kötü amaçlı yazılımın Dr.Web virüs veritabanına Android.Backdoor.854.origin olarak eklendiğini söylüyor.
Bu Android.Backdoor.854.origin, birkaç C&C sunucusundan birine bağlanır ve cihaz hakkında belirli bir dizi teknik veri içeren bir istek gönderir. Sunucu, truva atının indireceği, şifresini çözeceği ve çalıştıracağı eklentilerin bir listesini gönderir. Böylece sohbetleri okumaya, telefon görüşmelerini dinlemeye ve kötü niyetli faaliyetlerde bulunmaya izin verir.
“Keşfedilen arka kapıların ve indirdikleri modüllerin tehlikesi, hedeflenen uygulamaların bir parçası olacak şekilde çalışmalarıdır. Sonuç olarak, saldırıya uğrayan uygulamaların dosyalarına erişirler ve indirilen modüllerin işlevselliğine bağlı olarak sohbetleri okuyabilir, istenmeyen posta gönderebilir, telefon görüşmelerini durdurabilir ve dinleyebilir ve diğer kötü amaçlı eylemleri gerçekleştirebilirler”, Doctor Web
Ek olarak, işlem sırasında bu truva atları, diğer yazılımları indirmek ve kurmak için kullanılan çeşitli Lua betiklerini yürütür. Hedeflenen akıllı telefonlardan birinde keşfedilen tam da böyle bir Truva atı, Android.FakeUpdates.1.origin.
Son olarak, bu kötü amaçlı kötü amaçlı yazılım etkinliklerinden uzak durmak için Doctor Web, kullanıcıların mobil cihazları resmi mağazalardan ve saygın distribütörlerden satın almalarını önerir. Anti-virüs kullanmak ve mevcut tüm işletim sistemi güncellemelerini cihaza yüklemek çok önemlidir.
Ayrıca, Android için Dr.Web Security Space, yukarıda açıklanan truva atlarını başarıyla algılar ve (root erişimi varsa) etkisiz hale getirerek, virüslü cihazları iyileştirir.
Güvenli Azure AD Koşullu Erişimi – Ücretsiz Teknik Belgeyi İndirin