Giriş
Android platformunda keşfedilen yeni bir zararlı yazılım olan NoVoice, Google Play’deki 50’den fazla uygulama içinde gizlenmiş durumda. Toplamda 2,3 milyon kez indirilen bu uygulamalar, kullanıcıların güvenliğini ciddi şekilde tehdit ediyor ve bu durum ortaya çıkan siber güvenlik risklerini derinleştiriyor.
NoVoice Nasıl Çalışıyor?
NoVoice zararlı yazılımı, kullanıcıların dikkatini çekmeden cihazlarda gizli kalmak için çeşitli teknikler kullanmaktadır. Araştırmacılar, NoVoice’ın kötü niyetli bileşenleri com.facebook.utils paketinde gizlendiğini ve bunların meşru Facebook SDK sınıflarıyla karıştırıldığını tespit etmiştir.
- Kötü niyetli yük, gizlenmiş bir APK dosyasından (enc.apk) çıkarılarak sistem belleğine yüklenir.
- Dosyaların izlerini silmek için tüm ara dosyalar temizlenir.
NoVoice, cihazın kontrol sunucusuyla (C2) iletişim kurarak, donanım bilgileri, çekirdek versiyonu, Android versiyonu ve diğer önemli bilgileri toplar. Her 60 saniyede bir C2 sunucusundan yeni bileşenler indirerek, cihazın kök erişimini sağlamak için çeşitli saldırılar gerçekleştirir.
Etkilenen Sistemler
NoVoice, özellikle Android işletim sistemini hedef alırken, güvenlik yamanları 2016-2021 tarihleri arasında düzeltme yapılan zafiyetleri istismar eder. Araştırmacılar, toplamda 22 farklı CVE zafiyeti ile karşılaştıklarını belirtmektedir.
- Use-after-free çekirdek hataları
- Mali GPU sürücü hataları
Bu istismarların kullanılması, operatörlere kök erişimi sağlar ve cihazın temel güvenlik korumalarını devre dışı bırakır.
Veri Hırsızlığı ve Sonuçlar
Post-exploitation aşamasında, zararlı yazılım, cihazda açılan her uygulamaya müdahale eder. Özellikle WhatsApp mesajlaşma uygulamasını hedef alarak, kullanıcıların hassas verilerini çalmak için tasarlanmış iki ana bileşen kullanır:
- Uygulamaların sessizce yüklenmesi veya kaldırılması için bir bileşen.
- İnternet erişimine sahip herhangi bir uygulama içinde çalışan bir bileşen.
WhatsApp açıldığında, zararlı yazılım, şifreleme veritabanları, Signal protokol anahtarları ve kullanıcı kimlik bilgileri gibi önemli verileri yakalayıp C2 sunucusuna gönderir. Bu veri, saldırganların kurbanın WhatsApp oturumunu kendi cihazlarında kopyalamalarına olanak tanır.
Çözüm ve Korunma
McAfee tarafından bildirilen NoVoice hedefli uygulamalar Google Play’den kaldırılmıştır, fakat daha önce yüklenmiş olan uygulamalar kullanıcıların cihazlarını ve verilerini tehlikeye atmaktadır. Kullanıcılara şu önerilerde bulunulmaktadır:
- Aynı güvenlik yamanalarını barındıran cihazları güncelleyin.
- Güvenilir ve tanınmış kaynaklardan uygulama indirin.
- Olası tehlikeleri önlemek için şüpheli uygulamaları kaldırın.
Cihazlarınızı korumak için daha güncel ve aktif desteklenen model kullanmaya özen göstermelisiniz. Unutmayın, güvenliğiniz için dikkatli olmak her zaman en iyi savunmadır.
