Google Play’de yayımlanan bazı masum görünümlü Android uygulamaları milyonlarca kullanıcıyı farkında olmadan tehlikeye attı. Güvenlik araştırmacıları “NoVoice” adı verilen yeni bir zararlının en az 2,3 milyon indirme üzerinden cihazlara bulaştığını ortaya çıkardı.
Temizlik araçları, galeri uygulamaları ve mobil oyunlar gibi görünen 50’den fazla uygulama, aslında bu zararlı yazılımı taşıyordu. İlginç olan şu: Bu uygulamalar şüpheli izinler istemiyordu ve gerçekten çalışıyordu. Yani kullanıcıya verdiği sözü tutuyordu.
Sorun ise arka planda başlıyordu.
NoVoice nasıl çalışıyor?
Siber güvenlik şirketi McAfee araştırmacıları zararlıyı incelerken ilginç bir yöntemle karşılaştı.
NoVoice, uygulama açıldıktan sonra cihazda root erişimi almaya çalışıyor. Bunun için Android’de yıllar önce keşfedilen ama hâlâ bazı cihazlarda açık olan güvenlik hatalarını kullanıyor. Bu açıklar 2016 ile 2021 arasında yamalandı.
Zararlı ayrıca kendini gizlemek için Facebook yazılım bileşenleri arasında saklanıyor. Kodlar com.facebook.utils paketine yerleştiriliyor ve gerçek Facebook SDK sınıflarıyla karıştırılıyor.
Daha da ilginci var.
Asıl zararlı kod bir PNG görsel dosyasının içinde saklanıyor. Bu teknik “steganografi” olarak biliniyor. Uygulama bu dosyayı açıyor, içindeki gizli APK’yı çıkarıyor ve sistem belleğine yüklüyor. Ardından tüm geçici dosyaları silerek iz bırakmıyor.
Bazı bölgelerde çalışmıyor
Araştırmacılar zararlının bazı bölgelerde kendini özellikle durdurduğunu da fark etti.
Örneğin Çin’deki Beijing ve Shenzhen gibi şehirlerde zararlı çalışmıyor. Ayrıca sistemde emülatör, debugger veya VPN olup olmadığını anlamak için 15 farklı kontrol yapıyor.
Ama konum izni yoksa bile bulaşma süreci durmuyor.
Cihaz bilgilerini toplayıp saldırı planlıyor
Zararlı cihazı ele geçirmek için önce bilgi topluyor.
NoVoice, kontrol sunucusuna bağlanıyor ve şu bilgileri gönderiyor:
-
cihaz donanımı
-
Android sürümü
-
güvenlik yaması seviyesi
-
kernel sürümü
-
yüklü uygulamalar
-
cihazın root durumu
Bu bilgiler saldırganın hangi açığı kullanacağına karar vermesini sağlıyor.
Ardından zararlı her 60 saniyede bir sunucuyla iletişim kuruyor ve cihaz için uygun exploit dosyalarını indiriyor.
Root yetkisi alınca sistemi baştan yazıyor
McAfee araştırmacıları zararlının 22 farklı exploit kullandığını tespit etti. Bunların içinde kernel hataları ve Mali GPU sürücü açıkları da bulunuyor.
Root erişimi alındığında cihazın temel güvenlik sistemi devre dışı bırakılıyor. Zararlı daha sonra bazı kritik sistem kütüphanelerini değiştiriyor.
Örneğin:
-
libandroid_runtime.so
-
libmedia_jni.so
Bu dosyalar değiştirilince sistem çağrıları saldırganın koduna yönlendiriliyor.
Fabrika ayarı bile kurtarmayabilir
NoVoice’un en tehlikeli yönlerinden biri kalıcılık mekanizması.
Zararlı:
-
kurtarma scriptleri yüklüyor
-
sistem hata yöneticisini değiştiriyor
-
sistem bölümüne gizli yükler bırakıyor
Sorun şu: Sistem bölümü fabrika ayarına döndürme sırasında temizlenmiyor. Bu yüzden zararlı bazı durumlarda resetten sonra bile kalabiliyor.
Ayrıca her 60 saniyede çalışan bir kontrol süreci var. Bu süreç zararlı dosyaların silinip silinmediğini kontrol ediyor. Bir şey eksikse tekrar indiriyor.
Asıl hedef: WhatsApp verileri
Saldırı başarılı olduktan sonra zararlı cihazdaki tüm uygulamalara kod enjekte ediyor.
İki ana modül devreye giriyor:
-
Uygulamaları sessizce yükleyip kaldırabilen modül
-
İnternet erişimi olan uygulamalardan veri çalan modül
Araştırmacılar özellikle WhatsApp’ın hedef alındığını tespit etti.
Kullanıcı WhatsApp’ı açtığında zararlı şu verileri topluyor:
-
şifreleme veritabanları
-
Signal protokol anahtarları
-
telefon numarası
-
Google Drive yedekleme bilgileri
Bu bilgiler saldırganın kurbanın WhatsApp oturumunu kendi cihazında klonlamasına izin veriyor.
Google Play’den kaldırıldı ama risk bitmiş değil
McAfee bu uygulamaları Google’a bildirdi. Google da tüm zararlı uygulamaları Play Store’dan kaldırdı.
Google ayrıca şu açıklamayı yaptı:
Mayıs 2021’den sonra güncellenmiş Android cihazlar bu zararlıdan etkilenmiyor. Çünkü kullanılan güvenlik açıkları yıllar önce kapatıldı.
Ek olarak Google Play Protect, bu uygulamaları otomatik olarak kaldırıyor ve yeniden yüklenmesini engelliyor.
Ancak bu uygulamaları daha önce indiren kullanıcılar için risk devam ediyor. Uzmanlara göre bu cihazların verileri ele geçirilmiş olabilir.
Android kullanıcıları ne yapmalı?
Uzmanlar birkaç basit öneri veriyor:
-
Android cihazınızı güncel tutun
-
eski güvenlik yamasına sahip cihazları kullanmayın
-
uygulamaları sadece güvenilir geliştiricilerden indirin
-
Play Store’da olsa bile bilinmeyen uygulamalara dikkat edin
Özellikle 2021’den önceki güvenlik yamalarına sahip cihazlar bu tür saldırılara karşı daha savunmasız.