Android Malware: Konfety’nin Tehlikeli Yüzü
Son yıllarda siber güvenlik alanında meydana gelen gelişmeler, Android işletim sisteminde yaygınlaşan zararlı yazılımlar konusunda ciddi endişelere yol açmaktadır. Bu yazıda, Konfety adını taşıyan yeni bir Android zararlı yazılım varyantını inceleyeceğiz ve bunun nasıl çalıştığını, ne tür tehditler oluşturduğunu ve kullanıcıların bu tür tehlikelerden nasıl korunabileceğine dair bilgilere yer vereceğiz.
Konfety’nin Kurnaz Yöntemleri
Konfety, bilinen bir Android zararlı yazılımın yeni ve gelişmiş bir varyantıdır. Bu zararlı yazılım, “evil twin” yani kötü ikiz tekniğini kullanarak reklam dolandırıcılığı yapmaktadır. Bu teknik, iki birbirinin aynı uygulamanın aynı paket adını paylaşması üzerine kuruludur. Bu senaryoda, Google Play Store’da yer alan masum bir “şaka” uygulaması ile üçüncü taraf kaynaklar aracılığıyla dağıtılan kötü niyetli bir uygulama aynı ismi taşımaktadır.
Zimperium zLabs’den araştırmacı Fernando Ortega, “Konfety’nin ardındaki tehdit aktörleri son derece uyum sağlamakta ve hedefledikleri reklam ağlarını sürekli olarak değiştirerek tespit edilmekten kaçınma yollarını yenilemektedirler.” demektedir. Bu durum, zararlı yazılımın APK’sinin ZIP yapısını değiştirmesiyle de kendini göstermektedir.
APK’ların Saldırgan Kullanımı
Bozulmuş APK’lar kullanmak, tehdit aktörlerinin tespitten kaçınmasına ve tersine mühendislik çabalarını zorlaştırmasına olanak sağlamaktadır. Yeni kuşak Konfety sürümleri, gerekli DEX (Dalvik Executable) yüklemesini çalışma zamanında dinamik olarak yüklerken, dosyanın şifreli olduğunu belirten bir bit bayrağını “Bit 0” olarak ayarlamaktadır. Bu durum, APK’nın incelenmek istendiğinde yanıt olarak yanlış bir şifre istemi oluşturmasına neden olmaktadır.
Bunun yanı sıra, uygulamanın manifest XML dosyasında yanlış bir BZIP sıkıştırma yöntemi belirleyerek analiz araçlarının çökmesine neden olmaktadır. Bu tür bir sıkıştırma ile savunma teknikleri, daha önce Kaspersky tarafından bildirilen SoumniBot adlı başka bir Android zararlı yazılımında da görülmüştür.
Konfety’nin Yetenekleri ve Etkileri
Konfety, CaramelAds yazılım geliştirme kitini (SDK) istismar ederek reklamları çekmekte, zararlı yazılımları yaymakta ve saldırganların kontrolündeki sunucularla iletişim kurmaktadır. Bu zararlı yazılımın, kullanıcıları kötü niyetli web sitelerine yönlendirme, istenmeyen uygulamaların kurulmasını sağlaması ve sürekli olarak spam benzeri tarayıcı bildirimleri tetiklemesi gibi yetenekleri bulunmaktadır.
Ayrıca, uygulama simgesini gizlemek ve kurbanın bölgesine bağlı olarak işlevselliğini değiştirmek için coğrafi sınırlandırma (geofencing) kullanmaktadır. Bu tür tekniklerin kullanılması, kullanıcıların korunma şansını ciddi anlamda azaltmaktadır.
Ducex: Çince Android Paketleme Aracı
Öte yandan, ANY.RUN tarafından detaylandırılan bir Çin Android paketleyici aracı olan Ducex, sahte Telegram uygulamalarında yer alan yükleri gizlemek için tasarlanmıştır. Bu araç, fonksiyon şifrelemesi ve ek karıştırma ile ciddi bir obfuscation sağlamakta ve hata ayıklamayı zor hale getirmektedir.
Ducex, APK imza doğrulama işlemleri gerçekleştirmekte ve herhangi bir yeniden imza uygulaması durumunda başarısızlıkla sonuçlanmaktadır. Ayrıca, popüler analiz araçlarının varlığını tespit ettiğinde kendisini sonlandırması için tasarlanmıştır. Bu durum, hackerların zarar verme olasılığını artırmakta ve kullanıcıların korunmasını daha da zorlaştırmaktadır.
TapTrap: Yeni Bir Tehdit Modeli
Çeşitli araştırmacılar tarafından yayınlanan bir çalışmada, TapTrap adında yeni bir teknik tanıtılmıştır. Bu teknik, zararlı bir uygulamanın Android’in izin sistemini gizlice geçmesine olanak tanımakta ve hassas verilere erişim sağlamaktadır. TapTrap, kullanıcı etkileşimlerini ele geçirerek arka planda istenmeyen işlemler gerçekleştirmektedir.
Tehdit aktörleri, bir oyunu kullanarak kullanıcıyı kandırabilir ve kötü niyetli bir web sitesine kamera izni vermeye zorlayabilir. Bu durum kullanıcıların kendi bilgileriyle tehdit edilmelerine olanak tanımaktadır.
Bu tür teknikler, yalnızca Android ekosistemine değil, aynı zamanda genel siber güvenliğe yönelik büyük bir tehdit oluşturmaktadır. Android 16 sürümünün bu saldırılara karşı hala savunmasız olduğu belirtilmektedir.
Yukarıda belirtilen zararlı yazılımların ve tekniklerin farkında olmak, kullanıcılar için son derece önemlidir. Kullanıcıların cihazlarını korumak için güncel antivirüs yazılımlarını kullanmaları, cihazlarını güncel tutmaları ve yalnızca güvenilir uygulama kaynaklarından uygulama indirmeleri büyük bir önem taşımaktadır.
