Google Play dükkanındaki virüs içeren android uygulamalar tehlikesi, geçen yıl güvenlik araştırmacılarının ortaya koyduğu önemli bir tehdit idi. Dükkanlar temizlendi, tehdit ortadan kalmış oldu ama siber suçlular da boş durmuyorlar. Bugünlerde ortaya çıkan son gelişme, siber suçluların normal android uygulamaları, casus yazılımlara dönüştürmek için geliştirdikleri bir android yazılım platformunun ortaya çıkarılması oldu. Platform’un kapsamlı gözetleme fonksiyonları oluşturmaya çalıştığı görüldüğü için, bu olayın doğrudan istihbarat çalışmaları kapsamında olduğu sanılıyor.
Kötü amaçlı yazılım platformunun casus parçalar eklediği normal android uygulamalarına, Triout ismi veriliyor. Bunların yüklendiği telefonlarda, –telefon sahibi farkında olmadan– telefon görüşmelerini kaydetme, telefon mesajlarını izleme, fotoğraf ve videoları gizlice çalma ve konum verilerini toplama gibi casusluk bilgileri toplanıyor ve aktarılıyor.
Triout tabanlı casus yazılım uygulaması ilk olarak 15 Mayıs’ta Bitdefender’daki güvenlik araştırmacıları tarafından tespit edildi. Kaydedildiğine göre, kötü amaçlı yazılım örneği Rusya’da bulunan bir kişi tarafından VirusTotal’a yüklendi, ancak taramaların çoğu İsrail’den geldi.
Bitdefender tarafından 3 gün önce yayınlanan makalede, analiz edilen kötü amaçlı yazılım örneğinin, 2016 yılında Google Play’de mevcut olan ancak sonradan kaldırılmış olan bir Android uygulamasının içinde görüldüğü kaydedildi.
Bir android uygulamasının içine sokulan casus yazılım kendisini göstermiyor ve android yazılım normal işlevini sürdürüyor. Bitdefender’in keşfettiği virüs “Sex Game” isimli bir normal yetişkin uygulaması içinde bulunmuş. Uygulamayı kullanan kişinin mesajları, telefon görüşmeleri, resimleri vs saldırganların sunucularına gönderiliyor. Tüm arama günlükleri (ad, numara, tarih, tür ve süre ile) bu listeye dahil.
Bitdefender araştırmacısı Cristofor Ochinca, kaynak koduna erişim sağlayabildiği için, kötü amaçlı yazılımın henüz geliştirilme aşamasında olduğuna inanıyor. Çalınan bilgilerin gönderildiği komuta sunucusunun ise mayıs 2018’den bu yana çalıştığı raporlanıyor.
Araştırmacılar, virüssüz uygulamaya, casusluk kodunun nasıl, kim tarafından ve nereden eklendiğini ve eklenmiş uygulamanın kaç kişi tarafından indirildiğini henüz bilmiyorlar. Muhtemelen saldırganların kontrol ettiği web siteleri/adresleri üzerinden dağıtıldığı düşünülüyor. Tuhaf olan ise, analiz edilen Triout örneğinin geçerli bir Google Hata Ayıklama Sertifikası ile imzalanmış olması. Bu nedenle de saldırganların çok yetenekli ve kaynakları bol kişiler olduğu yorumu yapılıyor.
Anlayacağınız, cep telefonunuza bir uygulama yüklemeden önce 2 kere düşünün ve ancak sağlam kaynaklardan olduğuna inandıklarınızı yükleyin.
Kaynak : 