Tüm dünya Android cihazların yönetimini ele geçirebilecek yeni bir yazılımı konuşuyor. Trend Micro tarafından ANDROIDOS_GHOSTCTRL.OPS / ANDROIDOS_GHOSTCTRL.OPSA olarak saptanan bu zararlı yazılım, bulaştığı cihazın birçok özelliğini gizlice kontrol altına alabilmesinden dolayı GhostCtrl olarak adlandırılıyor. GhostCtrl'nin üç versiyonu bulunuyor. İlk sürüm bilgi çalıp bir cihazın işlevlerini kontrol ediyor. İkincisi ise yeni özellikler ekliyor. Üçüncüsü eski sürümlerin tüm özelliklerini bir araya getirip sisteme kötü amaçlı bileşenler ekliyor. Her birinin çalışma tekniklerine bakıldığında ise önümüzdeki günlerde bu yazılımın daha da evrimleşmesi bekleniyor.
İlk olarak Kasım 2015'te gazetelere çıkan GhostCtrl'un, ticari olarak da satılan OmniRAT çoklu platformunun bir türü olduğu ya da en azından onu temel aldığı düşünülüyor. Bu yazılım kendisini App, MMS, Whatsapp ve hatta Pokemon GO gibi bilinen uygulama isimlerini kullanarak saklıyor.
GhostCtrl, bulaştığı cihazı kendi emirlerine uyacak şekilde etkileyebiliyor
GhostCtrl'nin çaldığı veriler diğer Android bilgi hırsızlarıyla karşılaştırıldığında daha kapsamlı kalıyor. GhostCtrl, bahsedilen bilgi tiplerinin yanı sıra Android OS versiyonu, kullanıcı adı, Wi-Fi, batarya, Bluetooth ve ses dosyaları, UiMode, konum, kamera görüntüleri, tarayıcı ve aramalar, aktivite bilgisi ve duvar kağıtları gibi bilgileri de çalıyor. Ayrıca saldırganların belirlediği telefon numaralarından gelen mesajları da engelliyor. En ürkütücü özelliği ise gizlice konuşmaları ya da sesleri kaydetmesi ve ardından da belli bir zaman içinde kontrol & komuta (C&C) sunucusuna yüklemesi. Tüm çalınan içerik C&C sunucusuna yüklenmeden önce şifreleniyor.
Bunların dışında;
- Saldırgan bir hesabın şifresini silebiliyor ya da yeniden belirleyebiliyor.
- Telefon görüşmelerini engelleyebiliyor.
- Telefonun farklı melodiler ile çalmasını sağlayabiliyor.
- Clipboard içindeki içeriği değiştiriyor.
- Biçimlendirme ve içeriği de içeren kısayol linklerini ve bildirimleri kişiselleştirebiliyor.
- Bluetooth'un kontrolünü ele geçirerek başka bir cihazı aramasını ve ona bağlanmasını sağlayabiliyor.
Tehlikeyi nasıl azaltabiliriz?
- Cihazınızı devamlı güncelleyin. Android yamalaması parçalıdır ve kurumların cihazın güncel olması için özel taleplere ya da düzenlemelere ihtiyaçları olabilir. Bu yüzden de şirketler üretkenlik ve güvenliği dengeleyecek çözümler kullanmalı.
- "En az ayrıcalık" kuralı uygulanmalı. BYOD (kendi cihazını getir) cihazlarında kullanıcı izinleri sınırlanarak izinsiz erişim ve şüpheli uygulama yüklemeleri engellenmeli.
- Zararlı ve şüpheli uygulamaları saptayarak engelleyecek bir uygulama itibar sistemi kurulmalı.
- Hem uç nokta hem de mobil cihaz seviyesinde firewall, izinsiz giriş belirleme ve engelleme sistemleri uygulayarak zararlı yazılımın ağdaki zararlı etkinlikleri önceden engellenmeli.
- Mobil cihaz yönetim kuralları desteklenip güçlendirilerek ileride karşılaşılabilecek potansiyel güvenlik riskleri azaltılmalı.
- Daha sonradan verilerin zarar görmesini ya da paylaşılmasını engelleyecek şifreleme, ağ bölümlendirilmesi ve veri ayırma işlemleri gerçekleştirilmeli.
- Cihazların kaybolmasına, çalınmasına ya da zararlı şifrelemeye karşı düzenli olarak veriler yedeklenmeli.