Siber suçluların telefonunuza sızmak için kullandıkları yöntemler

Araştırmacılar zararlı yazılımları analiz edebilmek için yeni yöntemler ararken, siber suçlular da dijital aygıtları özellikle de telefonları ele geçirmenin sürekli yeni yollarını arıyorlar. Siber suçluların telefonlara sızmak için kullandığı 12 yöntem…

Global antivirüs kuruluşu ESET’ten araştırmacılara göre siber suçlular, kafa karıştıran sosyal mühendislik yöntemlerinin yanı sıra zararlı yazılım tespitini engellemeye çalışan karmaşık teknik kodlar uyguluyorlar. ESET uzmanları, son dönemde görülen 12 sızma yöntemini mercek altına aldı.

1. Google Play Store’daki uygulamaların kullanılması

Resmi Google mağazasında kötü amaçlı yazılımlara her zaman rastlanabilir. Siber suçlular için kötü amaçlı uygulamalarını gerçek uygulamaların satıldığı ortamlara gizlice sokmak, çok daha fazla potansiyel kurbana ulaşarak daha fazla etkiye sahip olabilecekleri ve bunu neredeyse garanti altına alabilecekleri büyük bir zaferdir.


2. Planlanan uygulama sürüm tarihlerinden yararlanmak

Siber suç dünyasında yaygın bir yol olan zararlı yazılımı, bir uygulama ya da oyun versiyonuymuş gibi gösterme yöntemi, aniden popülerlik kazanan, yayınlanma tarihi belirlenmiş ya da bazı ülkelerde satışa sunulmayan uygulamaları esas almaktadır. Örneğin zararlı yazılımlar Pokémon GO, Prisma ve Dubsmash ile dünya çapında yüz binlerce noktaya yayıldılar.

3. Tapjacking yöntemi ve paylaşımlı pencereler

Tapjacking, iki ekranlı sahte bir uygulama görüntüleyerek kullanıcının ekran görüntülerini yakalamayı amaçlayan bir tekniktir.Bu nedenle kurbanlar, gördükleri uygulamaya tıkladıklarına inanıyorlar; ancak aslında görünmez olan gizli uygulamalara da dokunuyorlar. Android’de kimlik hırsızlığı için casus yazılımlarda yaygın olarak kullanılan bir başka benzer strateji ise, yer paylaşımlı pencerelerdir. Bu aldatmacada kötü amaçlı yazılım, kullanıcının kullandığı uygulamayı sürekli olarak izler ve belirli bir meşru uygulamaya rastladığında, meşru uygulama gibi görünen ve kullanıcıdan kimlik bilgileri isteyen kendi iletişim kutularını görüntüler.

4. Sistem uygulamaları arasında kamuflaj

Şimdiye kadar kötü amaçlı kodun bir cihazda saklanmasının en kolay yolu, bir sistem uygulaması şeklinde konumlanarak bunu fark edilmeden olabildiğince sürdürmekti. Yükleme bittiğinde uygulama simgesini silmeye veya sistem uygulamalarının adlarını, paketlerini, simgelerini ve diğer popüler uygulamaları bir aygıtın güvenliğini aşmak amacıyla kullanmak, Adobe Flash Player ile kimlik bilgilerini çalmak amacıyla ortaya çıkan bankacılık truva atınınkine benzer stratejilerdir.

5. Yönetici izinlerini talep etmek için sistem ve güvenlik uygulamalarını taklit etmek.

Android, uygulama izinlerini sınırlayacak şekilde yapılandırıldığından, kötü amaçlı kodların çoğunun, işlevselliklerini doğru bir şekilde uygulayabilmek için yönetici izinleri talep etmesi gerekir. Ve bu izni vermek kötü amaçlı yazılımı kaldırmayı daha da zorlaştırır.

6. Gerçek verileri taklit eden güvenlik sertifikaları kullanmak

Bir APK’nın imzalanması için kullanılan güvenlik sertifikası, bir uygulamanın değiştirilip değiştirilmediğini belirlemek için de kullanılabilir. Çoğu siber suçlu, bir sertifika vermek için genel metin dizgileri kullanırken, birçoğu ise geliştiricinin kullandığı verilere karşılık gelen veriyi feda etme yoluna giderek, bu kontrolleri gerçekleştiren kullanıcıların kafalarını daha çok karıştırmayı başarıyor.


7. Aynı koddaki çoklu işlevler

Mobil dünyada son yıllarda giderek artan bir trend, farklı türdeki kötü amaçlı yazılımların tek bir uygulamayla birleştirilmesidir. Bunun bir örneği olan LokiBot; bir aygıttan bilgi çalmak için mümkün olduğunca uzun süre fark edilmeden arka planda çalışan bir bankacılık truva atıdır. Ancak kullanıcı, programı silmek-kaldırmak için yönetici izinlerini kaldırmaya çalışırsa, uygulama ransomware özelliğini etkinleştirerek aygıttaki dosyaları şifreler.

8. Gizli uygulamalar

Kopyalama ve yükleme araçlarının kullanımı, yani başka bir APK’nın içine kötü amaçlı kod gömmek veya internetten indirmek, kötü amaçlı mobil kod yazarları tarafından da evrensel olarak kullanılan bir stratejidir. Google Bouncer olarak da bilinen uygulama (şimdi Google Play Protect olarak yeniden adlandırıldı), siber suçluların resmi mağazaya kötü amaçlı yazılım yükleme imkanını zorlaştırdığından saldırganlar bu tür davranışları kontrol etmeyi seçtiler ve işe de yaradı.

9. Çoklu programlama dilleri ve uçucu kod

Yeni çoklu platform geliştirme sistemleri ve yeni programlama dilleri her zaman ortaya çıkıyor. Kötü amaçlı yazılım analizcisini yanıltmak için Xamarin ile uygulamalar tasarlama veya kötü amaçlı komutları yürütmek için Lua kodunu kullanma gibi yöntemlerle farklı dilleri ve geliştirme ortamlarını birleştirmekten daha iyi bir yol düşünülemez. Bu strateji, yürütülebilir dosyanın nihai mimarisini değiştirir ve karmaşıklık seviyelerini artırır.

10. Sinerjik kötü amaçlı yazılım

Bir örneğin analizini karmaşıklaştırmanın bir alternatifi, kötü amaçlı işlevselliği birbiriyle etkileşime girebilen bir dizi uygulamaya bölmektir. Bu şekilde, her uygulama bir izinler ve kötü niyetli işlevsellik alt kümesine sahip olur ve bunlar daha sonra başka bir amacı yerine getirmek için birbirleriyle etkileşirler. Dahası, analistlerin kötü amaçlı yazılımın gerçek işlevini anlamaları için, tüm bireysel uygulamalara, bir yapbozun parçalarıymış gibi erişebilmeleri gereklidir.

11. Gizli kanallar ve yeni iletişim mekanizmaları

Bir C&C sunucusu veya diğer kötü amaçlı uygulamalar ile iletişim kurmak için, kötü amaçlı yazılımların bilgi aktarması gereklidir. Bu, geleneksel açık kanallar veya gizli kanallar (kişiselleştirilmiş iletişim protokolleri, parlaklık yoğunluğu, uyku modu kilitleri, CPU kullanımı, bellekteki boş alan, ses veya titreşim seviyeleri ve hızölçerler) yoluyla yapılabilir. Ayrıca son aylarda siber suçluların, Twitter hesaplarını kullanarak komutları göndermek amacıyla kullandığı Twitoor gibi C&C iletilerini aktarmak için sosyal ağları nasıl kullandıklarını gördük.

12. Diğer anti-analiz teknikleri


Diğer kaçırma teknikleri arasında paketleme, anti-emülasyon, hata ayıklama, şifreleme ve gizleme kullanımı Android tabanlı zararlı yazılımlarda çok yaygındır. Bu türden koruma mekanizmalarının etrafından dolaşmak için, belki de Frida gibi uygulamalar yoluyla birtakım fonksiyonların kullanılması mümkündür. MobSF gibi, bu denetimleri varsayılan olarak atlatmaya çalışan analiz ortamlarını kullanmak da mümkündür. Bunlar bazı anti-emülasyon teknikleri içerir; örneğin Inspeckage gibi düz metin dizelerinin anahtarlar yoluyla şifrelenmeden önce veya sonra görülebileceği şeyler ya da AppMon gibi uygulamalar.

Türkiye’deki şirketler dijital güvenlik için neler yapıyor?


Editor
Haber Merkezi ▪ İndigo Dergisi, 19 yıldır yayın hayatında olan bağımsız bir medya kuruluşudur. İlkelerinden ödün vermeden tarafsız yayıncılık anlayışı ile çalışmaktadır. Amacı; gidişatı ve tabuları sorgulayarak, kamuoyu oluşturarak farkındalık yaratmaktır. Vizyonu; okuyucularında sosyal sorumluluk bilinci geliştirerek toplumun olumlu yönde değişimine katkıda bulunmaktır. Temel değerleri; dürüst, sağduyulu, barışçıl ve sosyal sorumluluklarının bilincinde olmaktır. İndigo Dergisi, Türkiye’nin saygın İnternet yayınlarından biri olarak; iletişim özgürlüğünü halkın gerçekleri öğrenme hakkı olarak kabul etmekte; Basın Meslek İlkeleri ve Türkiye Gazetecileri Hak ve Sorumluluk Bildirgesi’ne uymayı taahhüt eder. Ayrıca İnsan Hakları Evrensel Beyannamesi’ni benimsemekte ve yayın içeriğinde de bu bildiriyi göz önünde bulundurmaktadır. Buradan hareketle herkesin ırk, renk, cinsiyet, dil, din, siyasi veya diğer herhangi bir milli veya içtimai menşe, servet, doğuş veya herhangi diğer bir fark gözetilmeksizin eşitliğine ve özgürlüğüne inanmaktadır. İndigo Dergisi, Türkiye Cumhuriyeti çıkarlarına ters düşen; milli haysiyetimizi ve değerlerimizi karalayan, küçümseyen ya da bunlara zarar verebilecek nitelikte hiçbir yazıya yer vermez. İndigo Dergisi herhangi bir çıkar grubu, ideolojik veya politik hiçbir oluşumun parçası değildir.