Ağustos ayından meydana gelen bir dizi dDOS saldırısı ile ilgili olarak, bir grup güvenlik araştırmacısı yeni bir botnet’i ortaya çıkardı. WireX Botnet adı verilen bu saldırı aracı Android telefonları kullanıyor. Ama asıl ilginci, WireX’in trojanları Android telefonlara nasıl sokmakta olduğu konusu. Çok şaşırtıcı ama; trojanlar telefonlara Google Play Store üzerinden yerleştirilmiş. Google olayın ortaya çıkması üzerine 300 kadar uygulamayı, Playstore’dan kaldırdı.
“Android Clicker” olarak da adlandırılan WireX, Google Play Store’dan yüklenen yüzlerce kötü amaçlı uygulamadan birine sahip enfekte Android cihazlar üzerinden kitlesel dDOS saldırısı yapmak üzere tasarlanmış. Ağustos başında WireX küçük boyutlu dDOS saldırıları gerçekleştirdi. Ancak ağustos ortasından itibaren saldırılar büyümeye başladı.
Araştırmacılar, “WireX” botnetin ayın ortasındaki en büyük saldırıda 120.000’den fazla Android akıllı telefonu kullandığını gösterdi. 17 ağustusta ise, araştırmacılar 100’den fazla ülkeden 70.000’in üzerinde mobil cihazdan kaynaklanan devasa bir DDoS saldırısı (başta HTTP GET istekleri) fark ettiler. WireX, Mirai botnetinde olduğu gibi, DDoS saldırılarını gerçekleştirmek için interneti oluşturan gücü yani yüzlerce-binlerce bağlı cihazı (IoT) kullanmak için tasarlanmış gözüküyor.
Bu siber saldırıları takip eden, Akamai, CloudFlare, Dyn, Flashpoint, Google, Oracle, RiskIQ, Team Cymru gibi farklı İnternet teknolojisi ve güvenlik şirketlerinden araştırmacılar, siber saldırıları tespit ettikten sonra, mücadele etmek için işbirliği yaptılar. Buldukları sonuç çarpıcıydı. Saldırganlar, Google Playstore’u trojan yükleme ortamı olarak kullanıyorlardı.
Google, çoğunlukla Rusya, Çin ve diğer Asya ülkelerindeki kullanıcılar tarafından indirilen 300 WireX uygulamasını blokladı. Ancak WireX botnet’inin hala aktif olduğu kaydediliyor.
Google, 300 Play Store Uygulamasını Kaldırdı
Google, Android cihazlara, dDoS saldırılarında kullanmak için trojan bulaştıran 300 Play Store uygulamasını kaldırdı. Android’in servis mimarisi nedeniyle, trojan içeren uygulamalar, arka planda iken ya da çalışmadığında bile saldırı başlatabiliyor. Bu ifade ise Android kullanıcılarına bir uyarı anlamını taşıyor; demek ki, her yükledikleri uygulamanın “izin”lerini dikkatle kontrol etmeliler.
WireX botnetinin, genellikle içerik dağıtım networklerini hedeflediği belirtiliyor. Bir güvenlikçi, saldırganların fidye istediğini de kaydetti.
Araştırmacılar, WireX, uygulama katmanında hacimsel bir DDoS saldırısı olduğunu ve saldırı düğümleri tarafından üretilen trafiklerin öncelikli olarak HTTP GET istekleri olduğu halde bazı türevlerin Gönderilen istekleri yayınlama yeteneğine sahip olduğu görülüyor.
Geçen ay da, Google Play Store üzerinde ilk kötücül kod içeren Android uygulaması tespit edilmişti. Bir kaç gün sonra ise, araştırmacılar PlayStore üzerinde bu sefer “Xavier” adı verilen başka bir Android SDK kütüphanesi keşfettiler. Bu kötücül kod, Google Play Store üzerinden milyonlarca defa indirilen 800’den fazla uygulama içinde bulunuyordu.
Küresel Saldırılar, Güvenlikçileri Ortak Çalışmaya İtiyor
Diğer yandan –bir kısmı rakip olan– güvenlik araştırmacılarının birlikte çalışmaya başlamaları da ilginç bir ayrıntı [1]. Araştırmacılar, küresel dDOS saldırılarını çözmek için, ilk zamanda olduğu gibi yine birlikte çalışıyorlar. İnternet çapındaki saldırıların çözümünde ortak çalışmaları, geçen yıl ki Mirai notnet saldırısından sonra yeniden başlamıştı. WannaCry, Petya ve diğer küresel saldırılarda bu ortak çalışmalar güçlendi.
Güvenlikçiler, WireX botnet saldırılarıyla ilgili bulguların, ancak DDoS hedefleri ile güvenlik firmaları arasındaki işbirliği sayesinde çözülebildiğini söylüyor. Bunun için saldırı altındaki kuruluşların daha fazla bilgi paylaşımı yapmaları ve özellikle sayısal bilgi vermeleri istenmiş. Bu bilgiler biraraya konulduğunda, olay anlaşılabilmiş.
Kısa Süreli dDOS’lar Daha Tehlikeli
Kısa süreli DDoS saldırılarının etkilerinin bazen farkedilmediği ama aslında tehlikeli olduğu kaydediliyor. Çünkü küçük boyutları nedeniyle “hayalet saldırı” olarak adlandırılan bu saldırılar networkün yapısının ve üzerindeki cihazların tespiti, içeriye kod sızdırma gibi fonksiyonlar yerine getirebiliyor.
Android Telefon Sahiplerine Tavsiyeler
Peki, Google PlayStore’a güvenemeyecek miyiz? O zaman telefonumuza uygulamaları nereden indireceğiz?
Bu konudaki tavsiyelerimizden önce, hatırlatalım; telefonunuzdaki Android’in yeni versiyonu ise Google Play Koruma özelliği mevcuttur. Bu WireX botnet’ine ait uygulamaları otomatik olarak cihazından silecektir. Play Koruma (Protect) Google’un yeni duyurduğu bir güvenlik uygulaması. Kendi kendine öğrenen bir algorirma kullanıyor ve kullanım analizi yaparak, kötücül kod içerenleri telefonlardan kendisi siliyor.
Bunun dışında, sizin dikkat etmeniz gereken hususlar şunlar;
- Bildiğiniz geliştiricilerin uygulamalarını indirin. Anlamsız uygulamalar yüklemekten kaçının.
- Cep telefonunuzda da bir antivirüs yazılım kullanın ve bu yazılım güncel olsun.
- Yüklediğiniz uygulamaların çalışma izinlerini de “Ayarlar”dan inceleyin ve gerekirse değiştirin.
[1] The WireX Botnet: How Industry Collaboration Disrupted a DDoS Attack
Kaynak : 