Ana içeriğe atlayın

Kripto Para Birimi Madenciliğinden DDos Saldırılarına Kadar Uzanan Yeni Bir Truva Atı Keşfedildi: Loapi

21 Aralık 2017

Kaspersky Lab araştırmacıları, kripto para birimi madenciliğinden DDos saldırılarına kadar neredeyse sınırsız sayıda zararlı özelliğe sahip birçok modu bulunan yeni bir zararlı yazılım tespit etti.

Kaspersky Lab araştırmacıları, kripto para birimi madenciliğinden DDos saldırılarına kadar neredeyse sınırsız sayıda zararlı özelliğe sahip birçok modu bulunan yeni bir zararlı yazılım tespit etti. Modüler yapısı sayesinde bu zararlı yazılıma daha fazla işlev de eklenebiliyor. Bu olağan dışı ve güçlü zararlı yazılım Loapi olarak adlandırılıyor.

Loapi; bankacılık Truva Atları, kripto madencilik Truva Atları ve benzerleri gibi tek işlevli Android zararlı yazılımlarından çok farklı. Karmaşık bir modüler mimariye sahip olan yazılım sızdığı cihazda neredeye sınırsız işlem yapabiliyor.

Loapi Truva Atı, antivirüs çözümleri veya yetişkin uygulamaları için düzenlenen reklam kampanyalarına gizlenerek yayılıyor. Uygulamalar kurulduktan sonra yönetici haklarına erişim talep ediyor. Ardından ek modüller kurmak için komut ve kontrol sunucularına bağlanıyor.

Mimaride şu modüller bulunuyor:

  • Reklam yazılımı modülü - Kullanıcının cihazında çok sayıda reklam görüntülemek için kullanılıyor.
  • SMS modülü - Zararlı yazılım tarafından kısa mesajlarla birçok farklı işlem yürütmek için kullanılıyor.
  • Web gezgini modülü - Kullanıcıların haberi olmadan ücretli servislere üye olmak için kullanılıyor. SMS modülü kısa mesajları kullanıcıdan gizliyor ve gerektiği şekilde yanıt veriyor. Ardından tüm "delilleri" ortadan kaldırıyor.
  • Proxy modülü - Saldırganların cihaz adına HTTP talepleri yapmasını sağlıyor. Bu işlemler DDoS saldırıları için kullanılabiliyor.
  • Monero madenci modülü - Monero (XMR) kripto para birimi madenciliği yapmak için kullanılıyor.

Birçok farklı özelliğe sahip olan Loapi, kendini koruma becerisine de sahip. Kullanıcı uygulamadaki yönetici haklarını kaldırmaya çalıştığı zaman zararlı yazılım devreye girerek cihazın ekranını engelleyip pencereyi kapatıyor. Bu standart koruma yöntemine ek olarak, Loapi komut ve kontrol sunucularından kendisi için tehlikeli olan uygulamaların bir listesini alabiliyor. Bu listede genellikle zararlı yazılımı ortadan kaldıran güvenlik çözümleri yer alıyor. Kurulu veya çalışan uygulamalardan birisi listedeyse Truva Atı kullanıcıya sahte bir mesajla zararlı bir yazılım bulunduğunu ve uygulamayı kaldırabileceğini söylüyor. Mesaj bir döngü olarak sunuluyor. Böylece kullanıcı uygulamayı silmeyi başta reddetse bile silme işlemi kabul edilene kadar mesaj tekrar tekrar gösteriliyor.

Kaspersky Lab'in yaptığı araştırmada, Loapi'nin kendini korumak için yaptığı bu işlemlerin ilginç bir sonucu da keşfedildi. Rastgele seçilen bir telefonda yapılan testte, zararlı yazılımın çok büyük bir iş yükü oluşturduğu ve bunun sonunda cihazın ısınarak pilinin zarar görebildiği tespit edildi. Geliştiricilerin, zararlı yazılımı olabildiğince uzun süre çalıştırarak daha fazla para elde etme amacı taşıdıkları için bu durumun gerçekleşmesini istemedikleri düşünülüyor. Ancak, zararlı yazılımın optimizasyonuna özen gösterilmemesi bu şekilde bir "saldırı yöntemine" yol açmış durumda ve kullanıcıların cihazlarına ciddi şekilde zarar verebiliyor.

Kaspersky Lab Güvenlik Uzmanı Nikita Buchka, "Loapi, Android zararlı yazılımları dünyasının çok ilginç bir temsilcisi çünkü neredeyse mümkün olan tüm özellikleri tasarımında barındırıyor. Bunun ardında yatan neden ise gayet basit. Tek bir cihazı ele geçirip ardından onu yasa dışı para kazanmak için farklı yöntemlerde kullanmak çok daha kolay. Bu zararlı yazılımın beraberinde getirdiği beklenmedik risk ise kullanıcının kredi kartı verisini çalarak maddi zarara uğratmasa da telefonu tamamen yok edebilmesidir. Bu, gelişmiş bir Android Truva Atından bile beklenmeyen bir durum" dedi.

Yapılan araştırmaya göre Loapi, Trojan.AndroidOS.Podec ile bağlantılı olabilir. Her iki Truva Atı da başlangıçta komut ve kontrol sunucusu için benzer bilgileri alıyor. Ayrıca ikisinin de gizlenme yöntemleri birbirine benziyor.

Kaspersky Lab araştırmacıları, kullanıcıların cihazlarını ve gizli verilerini olası siber saldırılardan korumak için şunları tavsiye ediyor:

  • Resmi uygulama mağazalarının dışındaki kaynaklardan uygulama kurma özelliğini devre dışı bırakın.
  • Yazılımdaki açıkları ve saldırı riskini azaltmak için işletim sisteminizin en güncel sürümünü kullanın.
  • Cihazınızı siber saldırılardan korumak için tanınmış bir güvenlik çözümü kurun.

Loapi Truva Atı hakkında daha fazla bilgiyi Securelist.com adresinden edinebilirsiniz.

Kripto Para Birimi Madenciliğinden DDos Saldırılarına Kadar Uzanan Yeni Bir Truva Atı Keşfedildi: Loapi

Kaspersky Lab araştırmacıları, kripto para birimi madenciliğinden DDos saldırılarına kadar neredeyse sınırsız sayıda zararlı özelliğe sahip birçok modu bulunan yeni bir zararlı yazılım tespit etti.
Kaspersky logo

Kaspersky Hakkında

Kaspersky, 1997 yılında kurulmuş küresel bir siber güvenlik ve dijital gizlilik şirketidir. Bugüne kadar bir milyardan fazla cihazı yeni siber tehditlere ve hedefli saldırılara karşı koruyan Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünyanın dört bir yanındaki işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumak için sürekli olarak yenilikçi çözümlere ve hizmetlere dönüşüyor. Şirketin kapsamlı güvenlik portföyünde lider uç nokta koruması, özel güvenlik ürünleri ve hizmetlerinin yanı sıra karmaşık ve gelişmekte olan dijital tehditlerle mücadele etmek için Siber Bağışıklık çözümleri yer alıyor. 200.000'den fazla kurumsal müşterimize kendileri için en önemli olan şeyleri korumalarında yardımcı oluyoruz. Daha fazla bilgi için www.kaspersky.com.tr adresini ziyaret edin.

İlgili makale Haber Bültenleri