Tüm dünya Android cihazların yönetimini ele geçirebilecek yeni bir yazılımı
konuşuyor. Trend Micro tarafından ANDROIDOS_GHOSTCTRL.OPS /
ANDROIDOS_GHOSTCTRL.OPSA olarak saptanan bu zararlı yazılım, bulaştığı cihazın
birçok özelliğini gizlice kontrol altına alabilmesinden dolayı GhostCtrl olarak adlandırılıyor. GhostCtrl’nin
üç versiyonu bulunuyor. İlk sürüm bilgi çalıp bir cihazın işlevlerini kontrol
ediyor. İkincisi ise yeni özellikler ekliyor. Üçüncüsü eski sürümlerin tüm
özelliklerini bir araya getirip sisteme kötü amaçlı bileşenler ekliyor. Her
birinin çalışma tekniklerine bakıldığında ise önümüzdeki günlerde bu yazılımın daha
da evrimleşmesi bekleniyor.
İlk olarak Kasım 2015’te gazetelere çıkan GhostCtrl’un, ticari olarak da
satılan OmniRAT çoklu platformunun bir türü olduğu ya da en azından onu temel
aldığı düşünülüyor. Bu yazılım kendisini App, MMS, Whatsapp ve hatta Pokemon GO
gibi bilinen uygulama isimlerini kullanarak saklıyor.
GhostCtrl, bulaştığı cihazı kendi
emirlerine uyacak şekilde etkileyebiliyor
GhostCtrl’nin çaldığı veriler diğer Android bilgi hırsızlarıyla
karşılaştırıldığında daha kapsamlı kalıyor. GhostCtrl, bahsedilen bilgi
tiplerinin yanı sıra Android OS versiyonu, kullanıcı adı, Wi-Fi, batarya,
Bluetooth ve ses dosyaları, UiMode, konum, kamera görüntüleri, tarayıcı ve
aramalar, aktivite bilgisi ve duvar kağıtları gibi bilgileri de çalıyor. Ayrıca
saldırganların belirlediği telefon numaralarından gelen mesajları da
engelliyor. En ürkütücü özelliği ise gizlice konuşmaları ya da sesleri
kaydetmesi ve ardından da belli bir zaman içinde kontrol & komuta (C&C)
sunucusuna yüklemesi. Tüm çalınan içerik C&C sunucusuna yüklenmeden önce
şifreleniyor.
Bunların dışında;
· Saldırgan bir hesabın şifresini silebiliyor ya da yeniden
belirleyebiliyor.
· Telefon görüşmelerini engelleyebiliyor.
· Telefonun farklı melodiler ile çalmasını sağlayabiliyor.
· Clipboard içindeki içeriği değiştiriyor.
· Biçimlendirme ve içeriği de içeren kısayol linklerini ve
bildirimleri kişiselleştirebiliyor.
· Bluetooth’un kontrolünü ele geçirerek başka bir cihazı
aramasını ve ona bağlanmasını sağlayabiliyor.
Tehlikeyi nasıl azaltabiliriz?
· Cihazınızı devamlı güncelleyin. Android yamalaması
parçalıdır ve kurumların cihazın güncel olması için özel taleplere ya da
düzenlemelere ihtiyaçları olabilir. Bu yüzden de şirketler üretkenlik ve
güvenliği dengeleyecek çözümler kullanmalı.
· “En az ayrıcalık” kuralı uygulanmalı. BYOD (kendi
cihazını getir) cihazlarında kullanıcı izinleri sınırlanarak izinsiz erişim ve
şüpheli uygulama yüklemeleri engellenmeli.
· Zararlı ve şüpheli uygulamaları saptayarak engelleyecek
bir uygulama itibar sistemi kurulmalı.
· Hem uç nokta hem de mobil cihaz seviyesinde firewall,
izinsiz giriş belirleme ve engelleme sistemleri uygulayarak zararlı yazılımın
ağdaki zararlı etkinlikleri önceden engellenmeli.
· Mobil cihaz yönetim kuralları desteklenip güçlendirilerek
ileride karşılaşılabilecek potansiyel güvenlik riskleri azaltılmalı.
· Daha sonradan verilerin zarar görmesini ya da
paylaşılmasını engelleyecek şifreleme, ağ bölümlendirilmesi ve veri ayırma
işlemleri gerçekleştirilmeli.
· Cihazların kaybolmasına, çalınmasına ya da zararlı
şifrelemeye karşı düzenli olarak veriler yedeklenmeli.
YORUMLAR