Triada: Android’deki organize suç

Orduların genellikle nasıl hareket ettiğini bilirsiniz: Önce gözcüler her şeyin yolunda olduğuna emin olur. Daha sonra ağır birlikler gelir. En azından siber savaş çağından önce bu böyleydi. Şimdi Trojan virüsleri

Orduların genellikle nasıl hareket ettiğini bilirsiniz: Önce gözcüler her şeyin yolunda olduğuna emin olur. Daha sonra ağır birlikler gelir. En azından siber savaş çağından önce bu böyleydi. Şimdi Trojan virüsleri bu şekilde hareket ediyor.

Birçok küçük Android Trojan’ının erişim yetkilerine sahip olma kabiliyeti vardır – diğer bir deyişle kök dizine erişirler. Malware araştırmacılarımızdan Nikita Buchka ve  Mikhail Kuzin, bu tür en az 11 Trojan türevi olduğunu söylüyor. Birçoğu neredeyse zararsız – tüm yaptıkları size tonlarca rekalm göstermek ve kendisi gibi diğer virüsleri indirmek. Bu konuda daha çok bilgi için – araştırmacılarımızın hazırladığı Securelist makalesine göz atabilirsiniz.

 
Ordu örneğinden devam etmek gerekirse – bunlar gözcülerdir. Ve sizin de anladığınız gibi kök dizine erişme yeteneği bu virüslere uygulamaları indirme ve yükleme izni verir – bu sebeple eğer herhangi bir tanesi sisteminize girerse kendisi gibi birçoğunu sisteminize kısa süre içinde sokacaktır. Ama araştırmacılarımız bu tarz küçük Trojanların sisteme bulaştığı zaman kullanıcıya ve verilere zarar verecek diğer malware virüslerini indireceklerini öngörmüşlerdi.

Ve öngördükleri son zamanlarda gerçekleşmeye başladı. Leech, Ztorg ve Gopro gibi küçük Trojanlar, analistlerimizin şimdiye kadar karşılaştığı en gelişmiş mobil Trojan virüsünü indirdiğini tespit etti – biz de buna Triada diyoruz.

 
Triada kök dizini kullarak, sistem dosyalarıyla yer değiştiren  birimsel (modüler) bir Trojandır. Genellikle cihazın RAM’inde bulunur ki bu da virüsün bulunmasını son derece zorlaştırır.

 
Triada’nın karanlık yöntemleri
Bir defa sisteminize indirilip kurulduğunda, Triada Trojan önce sistem hakkında bilgi toplamaya çalışır – cihaz modeli, işletim sistemi versiyonu, SD kart kapasitesi, yüklü uygulamaların listesini ve benzer şeyleri. Daha sonra bu bilgileri Yönetim & Kontrol sunucusuna gönderir. Toplamda 4 domain üzerinde 17 farklı Yönetim & Kontrol sunucusu keşfettik. Bu da kötü adamların muhtemelen biçok farklı yola başvurduğunu gösteriyor.

 
Yönetim & Kontrol sunucusu cihaz için kişisel kimlik numarası ve bazı diğer ayarları – sunucuya bağlanırken geçen süre, yüklenecek birimlerin (modüllerin) listesi ve diğer şeyler içeren bir sistem dosyası ile cevap veriyor. Birimler yüklendikten sonra kısa süreli belleğe yayılıp telefon hafızasından silinir. Bu da Trojan’ı yakalamayı daha da zorlaştırır.

 
Triada’nın yakalanmasını bu denli zorlaştıran ve araştırmacılarımızı bir hayli etkilemesinin iki sebebi daha var. İlk olarak Zygote sürecini değiştirir. Zygote, Android işletim sisteminin her uygulama şablonuna uyguladığı temel süreçtir. Yani, Trojan Zygote’a girerse cihazda çalışan her uygulamanın bir parçası haline gelir.

triada-zygote

İkincisi, sistem fonksiyonlarının yerine geçer ve sistemin birimlerini çalışan süreçlerin ve indirilen uygulamaların listesinden gizler. Böylelikle sistem olmaması gereken çalışan süreçleri görmez ve alarm vermez.

 

Bunlar Triada’nın etkilediği sistem fonksiyonlarının sadece birkaçı. Araştırmacılarımızın keşfine göre aynı zamanda giden SMSlere el atıyor ve gelenleri filtreliyor. Kötü adamlar da Trojan’dan bu şekilde gelir elde ediyorlar.

Bazı uygulamalar satın alma işlemi için SMS onayı gerektirir – alışveriş yapılan veri kısa mesaj ile transfer olur. Uygulama geliştiricilerin geleneksel İnternet ödemesi yerine SMS’i seçmesinin asıl nedeni SMS’in internete ihtiyacının olmaması. Kullanıcıların bu SMS’leri görmeme sebebi ise SMSlerin mesajlar uygulaması tarafından değil uygulama üzerinden işlenmesidir – mesela ücretsiz oyunlar.

 
Triada’nın mesajları değiştirme özelliği olması sonucunda, para uyguluma geliştiriciye değil direkt malware yöneticisine gider. Triada kullanıcılardan şu şekillerde de para çalabilir. Kullanıcılar satın alma işleminde başarısız olursa Triada işlemi kendi istediği gibi gerçekleştirir. Hatta başarılı satın almalarda bile parayı uygulama geliştiriciye göndermek yerine kendi istediği yere gönderebilir.

 
Şimdilik, siber suçlular Triada’dan sadece bu şekilde kar elde edebiliyor, ama şunu unutmayın ki Triada birimsel bir Trojan’dır. Yönetim & Kontrol sunucusundan bir komutla istenilen her şekle sokulabilir.

Telefonunuzdan organize suçlara karşı savaşın
Triada’nın asıl problemlerinden biri, BİRÇOK insana zarar verebilecek olmasıdır. Daha önce değindiğimiz gibi, Triada kök dizini kontrol edebilen küçük Trojanlar tarafından telefonunuza indirilir.  Araştırmacılarımız 2015’in ikinci yarısında her 10 Android kullanıcısından 1’inin bir ya da birçok Trojan virüsü tarafından saldırıya uğradığını tahmin ediyor, yani milyonlarca cihaza çok büyük ihtimalle Tirada bulaşmış olabilir.

 
Peki, siz bu gizli canavardan kendinizi nasıl koruyabilirsiniz?

 
1. Sisteminizi güncellemeyi asla unutmayın. Görünen o ki, bu küçük Trojanlar Android 4.4.4 ve daha yüksek sistemlerin kök dizininde çok ciddi sorunlarlarla karşılaşır çünkü birçok eksik bu versiyonlarda giderildi.  Yani, cihazınızda Android 4.4.4 veya daha üstü bir versiyon kullanıyorsanız, Triada’dan etkilenme riskiniz bir hayli azaldı. Gerçi, istatisklerimiz hala kullanıcıların %60’ının Android 4.4.2 ve daha düşük sürümlerini kullandığını söylüyor.

01_en

2. Hangi versiyonu kullanırsanız kullanın, riske girmemek en doğrusu. Bu yüzden Anroid cihazlar için anti-virüs programları kullanmanızı öneriyoruz.  Kaspersky Internet Security for Android bütün Triada modüllerini farkeder ve böylelikle paranızı Triada arkasındaki siber suçlulardan korur. Ama şunu unutmayın ki, virüs tarama ücretsiz versiyonlarda otomatik başlamaz.

 
Ama hepsinden öte, Triada bu zararlı akımdan sadece bir örnek: malware geliştiricileri Android ile çok ilgilidir, ve son örnekler gerçekten  Windows temelli virüs türlerinden çok daha karmaşık ve karşı konması çok daha zordur. Bu tehditlere karşı savaşmanın en iyi yolu sürekli tetikte olmak, ve iyi bir anti virüs kullanmaktır.

 

İpuçları