Yeni bir mobil tehdit, uzaktaki saldırganların Android cihazlarını ele geçirmesine, telefonları gözetleme araçlarına dönüştürmesine ve kullanıcıların kendi verilerine erişimini engellemesine olanak tanıyor.
Mobil güvenlik firması Zimperium’un zLabs’ındaki siber güvenlik araştırmacıları, şu anda sahte ve kötü amaçlı kimlik avı siteleri aracılığıyla İspanyol kullanıcıları hedefleyen DroidLock adlı kampanyayı keşfetti.
Zimperium’un güvenlik araştırmacısı ve rapor yazarı Vishnu Pratapagiri, kötü amaçlı yazılımın, kurbanın cihazını “tamamen ele geçirmek” için tasarlanmış fidye yazılımına (cihazınızı kilitleyen ve ödeme talep eden yazılım) benzer şekilde davrandığını belirtti.
Birisi onu yüklemesi için kandırıldığında DroidLock, kurbanı saldırganlarla iletişime geçmeye zorlayan tam ekran bir uyarı görüntülemek için sahte sistem güncelleme ekranları ve diğer aldatıcı teknikler kullanır.
Ele Geçirme Nasıl Çalışır?
Zimperium’un Hackread.com ile paylaştığı araştırmasına göre, bu kötü amaçlı program son derece organize olup, C2 merkeziyle iletişim kurmak için 15 farklı komut kullanıyor. Dikkat edilmesi gereken nokta, DroidLock’un aslında tipik fidye yazılımları gibi dosyaları şifrelememesidir, ancak yine de büyük hasara neden olabilir.
Zimperium’un blog gönderisinde ayrıca, “cihazı tamamen silmek” veya PIN’inizi veya şifrenizi değiştirerek sizi kalıcı olarak kilitlemek gibi çeşitli dolandırıcılık faaliyetlerini gerçekleştirme yeteneğini kazanmak için cihazın Cihaz Yöneticisi İzni’nden yararlanıldığı belirtiliyor.
En çok endişe verici özelliklerden biri, hassas bilgilerin nasıl çalındığıdır. Araştırmacılar, DroidLock’un ekran kilidi açma desenleri ve uygulama kimlik bilgileri gibi önemli ayrıntıları yasadışı bir şekilde toplamak için ikili katmanlama teknikleri (gerçek uygulamaların üzerinde görünen sahte ekranlar) kullandığını buldu. Ayrıca ekranınızı yayınlayabilir ve VNC (Sanal Ağ Bilgi İşlem) aracılığıyla cihazınızı uzaktan kontrol edebilir.
Bir diğer önemli özellik ise tüm ekran etkinliğini gizlice yakalayıp arka planda sürekli çalışan uzak bir sunucuya aktarma yeteneğidir. Bu son derece tehlikeli işlevsellik, saldırganların, oturum açma ayrıntıları veya çok faktörlü kimlik doğrulama (MFA) kodları da dahil olmak üzere cihazın ekranında gösterilen her türlü hassas bilgiyi çalmasına olanak tanır. Hatta ön kamerayla kurbanın görüntüsünü bile yakalayabiliyor.
Kurumsal Veriler Risk Altında Olabilir
Bu tehdit özellikle endişe verici çünkü bildiğimiz kadarıyla mobil cihazlar genellikle çalışanların şirket bilgilerine erişmesinin en az korunan yoludur. Aldatıcı bir bağlantıya yapılan basit bir tıklama, hem kişisel kullanıcıları hem de iş telefonlarındaki şirket verilerini etkileyen “tüm cihazın ele geçirilmesine” yol açabilir.
Araştırma ayrıca DroidLock’un telefonun her parçasını uzaktan kontrol edebildiğini ortaya çıkardı. Zimperium araştırmacıları, güvenliği ihlal edilmiş bir telefonun kurumsal ağ içinde “düşman bir uç nokta” haline gelmesi nedeniyle daha iyi mobil korumaya duyulan ihtiyacı vurguluyor.