DroidLock adı verilen yeni ve tehlikeli bir kötü amaçlı yazılım, kimlik avı web siteleri aracılığıyla özellikle İspanyolca konuşulan bölgelerdeki Android kullanıcılarını hedef alıyor.
Bu tehdit, fidye yazılımı taktiklerini uzaktan kontrol yetenekleriyle birleştirerek kişisel ve kurumsal cihazların kullanıcıları için ciddi bir risk oluşturuyor.
DroidLock kurulduktan sonra akıllı telefonu saldırganların istediği zaman manipüle edebileceği düşmanca bir uç noktaya dönüştürüyor ve bu da onu mobil güvenlik açısından önemli bir endişe haline getiriyor.
Kötü amaçlı yazılım, saldırısına iki aşamalı bir bulaşma süreciyle başlar. Bir damlalık uygulaması, genellikle güvenilir hizmetleri taklit ederek meşru bir uygulama gibi davranarak kullanıcıları gerçek veri yükünü yüklemeleri için kandırır.
Bu yaklaşım, DroidLock’un Android güvenlik kısıtlamalarını atlamasını ve kritik erişilebilirlik hizmetlerine erişmesini sağlar.
Kötü amaçlı yazılım yüklendikten sonra hem cihaz yöneticisi hem de erişilebilirlik izinleri talep ediyor ve kurbanlar genellikle bunun sonuçlarını anlamadan bu izinleri veriyor.
Zimperium güvenlik araştırmacıları, araştırmaları sırasında DroidLock’un gelişmiş mimarisini tespit etti.
.webp)
Kötü amaçlı yazılım, komut ve kontrol sunucusuyla iletişim kurmak için hem HTTP hem de WebSocket’i kullanarak saldırganların sürekli olarak talimat göndermesine ve çalınan verileri almasına olanak tanıyor.
.webp)
Bu çift yönlü iletişim, güvenliği ihlal edilmiş cihazlar üzerinde gerçek zamanlı kontrol sağlar.
DroidLock’un Kimlik Bilgisi Çalma Mekanizmasını Anlamak
DroidLock, kullanıcı kimlik bilgilerini çalmak ve kalıpların kilidini açmak için iki farklı kaplama tekniği kullanır.
İlk yöntem, kullanıcılar cihazlarının kilidini açmaya veya bankacılık uygulamalarına erişmeye çalıştığında hemen ortaya çıkan, doğrudan kötü amaçlı yazılımın koduna yerleştirilmiş bir desen çizimi arayüzünü kullanıyor.
Bu katman, kullanıcıları hırsızlık konusunda uyarmadan kilit açma modellerini yakalar. İkinci yaklaşım, saldırganın sunucusundaki bir veritabanından dinamik olarak yüklenen HTML tabanlı katmanları içerir.
Bu katmanlar meşru bankacılık uygulamalarını ve giriş ekranlarını mükemmel bir şekilde taklit ederek kullanıcıları kimlik bilgilerini doğrudan sahte formlara girmeleri için kandırıyor.
Kullanıcılar bu katmanlarla etkileşime girdiğinde girilen tüm bilgiler doğrudan saldırganın altyapısına akar.
Kötü amaçlı yazılım, kullanıcıların belirli uygulamaları ne zaman açtığını izliyor ve bunları sunucu tarafından sağlanan bir listeyle eşleştiriyor.
Bir eşleşme meydana gelirse DroidLock hemen ilgili katmanı dağıtır. Bu akıllı hedefleme, saldırganların bankacılık ve ödeme sistemleri gibi yüksek değerli uygulamalara odaklanmasını sağlar.
.webp)
Kimlik bilgisi hırsızlığının ötesinde, DroidLock ekran etkinliğini kaydeder ve cihazın kamerasını kullanarak görüntüleri yakalar; tek kullanımlık şifreler ve kimlik doğrulama kodları da dahil olmak üzere ekranda görüntülenen hassas bilgilerin açığa çıkması ihtimali vardır.
DroidLock’un fidye ekranı, tüm verileri 24 saat içinde yok etmekle tehdit ediyor ve sağlanan iletişim bilgileri aracılığıyla ödeme talep ediyor.
.webp)
Geleneksel dosya şifrelemeli fidye yazılımının aksine, bu kötü amaçlı yazılımın verileri şifrelemesine gerek yoktur çünkü fabrika ayarlarına sıfırlama komutlarını kullanarak her şeyi kolayca silebilir.
Enfeksiyondan sonra iyileşme uzman yardımı olmadan neredeyse imkansız hale geldiğinden, bu durum önleme ve tespit etmeyi kritik hale getiriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
