Trend Micro'dan Android zararlıları uyarısı!
Trend Micro, SMS göndericisi gibi çalışan Android Market zararlılarını açıkladı ve uyardı!
Daha önce kötücül yazılımların Androdiler'de SMS'leri sildiğine ya da SMS mesajları gönderdiğine şahit olmuştuk fakat, Androidler'deki kötücül yazılımların SMS göndericisi gibi çalıştıklarına şahit olmamıştık.
Trend Micro Tehdit Analisti Mark Balanza; "Meslektaşlarım ve ben, mesaj gönderirken ve alırken vekil olarak virüslü bir cihazı kullanan kötücül bir Android yazılımı örneğini inceliyoruz. Son zamanlarda gördüğümüz Android tehditlerinin aksine, bu seferki yasal Android uygulamalarında eklenti olarak çalışmak yerine, yükleme sırasında sadece bir anlık bir pencere açıp kapayarak sistemde barınıyor." açıklamasında bulundu.
Bu kötücül yazılım, Flash Service adında bir işletim sistemi yüklüyor. Bu işletim sistemi, bilgisayar açıldığında başlayan Flash Receiver ve bilgisayar başlatıldığında ya da bir SMS mesajı aldığında harekete geçen SMS Receiver adında iki adet alıcıyı çalıştırıyor ve Flash Service işletim sistemini başlatıyor.
Alıcılar, belirli bir komut mesajı aldığında o komutu yürütülebilecek işleve sahiptirler. Örneğin çok basit bir konuyu düşünün. Bir cihaz SMS mesajı aldığında, onun işletim sistemi bu olayı yayınlayarak alıcı fonksiyonlarının çalışmasını sağlayabilir.
Flash Service, cihazın sunucusuyla iletişime geçmesine izin
veriyor. Bahsettiğimiz gibi, bu sistem bilgisayar başlatıldığında,
bir .XML dosyası indirmek yerine belirli bir
URL'ye bağlanıldığında çalışıyor. Aşağıda bu .XML
dosyasının kodunu görebilirsiniz.
Zararlının başvurduğu yöntem, olası tehlikeler
Gönderilen öğe
Yapılandırma dosyasındaki ilginç maddelerden birisi de gönderilen öğedir. Sunucu, içerisine genellikle bilgi koymaz. Yine de, bu kötücül yazılımın kodlarına baktığımda, numara niteliğinde olan ve metin içerisinde bir dizilim içeren bir mobil numarayı kabul edebilir görünüyorlar.
Burada olan ise şu: Kötücül yazılımın sahibi kişi, yapılandırma dosyasına, "Bu bir SMS mesajıdır" şeklinde bir kod yazarsa; bu kötücül yazılım, mesajı istenen numaraya "Bu bir SMS mesajıdır" şeklinde gönderecektir. Bahsedilen maddelerden birini içeren her hangi bir metin SMS gövdesi, numara niteliği taşıyan her hangi bir numara da alıcı olabilir.
Buna rağmen, bu yapı için sadece SMS mesajı gönderebilir diyebiliriz. Bir gönderici olarak çalışmasının yerine, alıcı cevap verdiğinde SMS mesajını iletebiliyor. Burada SMS Receiver devreye giriyor. SMS Receiver, SMS mesajını gönderenin yapılandırma dosyasındaki ile aynı olup olmadığını kontrol ediyor. Öyle olduğu takdirde, SMS gövdesini alıp URL yardımıyla sunucusuna gönderiyor. Gönderdikten sonra ise bu mesaj siliniyor, dolayısıyla etkilenen cihazın kullanıcısı bunu fark edemiyor.
Olası tehlikeler
Gördüğümüz kadarıyla, bu kötücül yazılım üç nedenden ötürü
kullanılıyor. Bunlardan ilki, ücretli servisleri kötüye kullanma
amacını içeriyor. Kötücül yazılımı üreten kişi, cihaza kendi açtığı
bir açıktan girerek, bu cihazın ücretli servislerini başlatabilir
ve SMS'le gelebilecek bildirimleri bile silebilir.
İkinci olarak hedeflenen cihazlar için casusluk yapmak amacıyla
kullanıldığını söyleyebiliriz. Belirli bir numara tarafından bu SMS
mesajı alınırsa, SMS gövdesi numarayı sunucusuna yükler.
Üçüncü ve son olanında ise, SMS mesajları için bir proxy server
olarak kullanılabilir. Bunun sonucunda da kötücül yazılımın sahibi,
etkilenen cihaz üzerinden SMS alıp, gönderebilir.
Cihazınıza virüs bulaştığını nasıl anlayabilirsiniz?
Ayarlar > Uygulamalar > Kullanılan Servisler 'e gidin. Flash Service içeren bir uygulama olup olmadığını kontrol edin.
Eğer böyle bir uygulama bulursanız, manuel olarak Ayarlar > Uygulamalar > Uygulamaları Yönet mödülünden uygulamayı kaldırabilirsiniz.
Bu kötücül yazılım AndroidOS_CRUSEWIN.A olarak adlandırıldı. Bu gibi durumlarda Trend Micro, Android kullanıcıları için Mobile Security for Android çözümünü öneriyor.
Basın bülteninden derlenmiştir.