Yeni Android Malware: Android.Backdoor.916.origin
Son dönemde, Rusya’nın Federal Güvenlik Servisi tarafından yaratıldığı belirtilen yeni bir Android malware, Rusya’daki iş dünyası yöneticilerini hedef alıyor. Rus mobil güvenlik firması Dr. Web tarafından yayımlanan rapora göre, bu kötü amaçlı yazılım Android.Backdoor.916.origin olarak adlandırılıyor ve daha önce bilinen malware aileleriyle bağlantısı bulunmuyor.
Malware’ın Özellikleri
Bu malware, birçok zararlı işlevi barındırıyor. Kullanıcının telefonundaki kamera ve mikrofon üzerinden canlı yayın yapabilirken, aynı zamanda yazılı metin girişlerini kaydetmek için bir keylogger kullanıyor. Ayrıca, mesajlaşma uygulamalarından iletişim verilerini dışarıya aktarma yeteneğine de sahip. Dr. Web, bu malware’ın ocak 2025’teki ilk keşfinden bu yana birkaç versiyonunu analiz ettiğini ve bu durumun yazılımın sürekli olarak geliştirilmekte olduğunu gösterdiğini bildiriyor.
Hedefli Saldırılar ve Dağıtım Yöntemleri
Dr. Web araştırmacıları, malware’ın dağıtım yöntemlerine ve kullanıcı arayüzünün yalnızca Rusça desteklemesine dayanarak, yazılımın Rus işletmelerine yönelik hedefli saldırılar için tasarlandığı sonucuna vardılar. Malware’ın iki ana marka denemesi tespit edildi; bunlardan biri “GuardCB” adıyla Rusya Merkez Bankası’nı taklit ederken, diğeri ise “SECURITY_FSB” ve “ФСБ” adlı varyantlarla Rus istihbarat ajansını taklit etmeye çalışmakta.
Yanıltıcı Antivirüs Arayüzü
Bu antivirüs aracı, güvenlik özelliklerinden yoksun olmasına rağmen, kurbanları cihazlarından kaldırmaktan alıkoymak için gerçek bir güvenlik aracını taklit etmeye çalışıyor. Kullanıcı, arayüzdeki “tarama” butonuna tıkladığında, %30 oranında yanlış pozitif sonuç verecek şekilde programlanmış bir simülasyon gösteriliyor. Yanlış tespitlerin sayısı ise rastgele olarak 1 ile 3 arasında değişiyor.
Yüksek Riskli İzin Talepleri
Malware kurulduktan sonra, coğrafi konum, SMS ve medya dosyalarına erişim, kamera ve ses kaydı, Erişilebilirlik Servisi ve her zaman arka planda çalışabilme izinleri gibi yüksek riskli izinler talep ediyor. Bu izinler, malware’ın daha fazla istihbarat toplamasına olanak tanıyor.
Komut ve Kontrol Yöntemleri
Malware, birçok hizmeti başlatarak komut ve kontrol (C2) sunucusuyla bağlantı kuruyor. Bu sunucudan aldığı komutlar arasında şunlar yer alıyor:
- SMS, rehber, arama geçmişi, coğrafi konum ve Kaydedilmiş görüntüleri dışarı aktarma
- Mikrofon, kamera ve ekran yayını başlatma
- Yazı girişi ve mesajlaşma uygulamaları (Telegram, WhatsApp, Gmail) içeriğini yakalama
- Kabuk komutlarını gerçekleştirme, sürekliliği sağlama ve kendini koruma özelliği
- Dr. Web, malware’ın 15’e kadar barındırma sağlayıcısı arasında geçiş yapabileceğini buldu. Şu anda bu özellik aktif olmasa da, kötü amaçlı yazılımın dayanıklılık için tasarlandığını gösteriyor.
Güvenlik Uzmanlarının Uyarıları
Güvenlik uzmanları, Android.Backdoor.916.origin ile ilgili tam tehlike göstergelerini GitHub’da yayımladı. Bu tür malware’ların hızla gelişen bir tehdit olduğunu unutmamak gerekir. Rusya’da iş dünyasında görev alan liderlerin bu tür yazılımlara karşı dikkatli olmaları önem arz ediyor. Gerçek güvenlik araçlarını kullanmayı ve yalnızca resmi kaynaklardaki yazılımları indirmeyi ihmal etmemeleri gerekiyor.
Sonuç olarak, bu yeni Android malware, kullanıcıların özel verilerini hedef alarak ciddi bir güvenlik tehdidi oluşturmaktadır. Bu nedenle, hem bireylerin hem de işletmelerin siber güvenlik konusundaki farkındalığını artırmaları büyük bir önem taşıyor. Doğru adımlar atılmadığı takdirde, bu tür yazılımlar kullanıcıların hayatında ciddi problemlere yol açabilir.
