Dünyada 500 milyondan fazla kullanıcıyı koruyan
Bitdefender Antivirüs’ün güvenlik araştırmacıları tarafından geçtiğimiz yıl
keşfedilen Triout casus yazılımı yeniden ortaya çıktı. Popüler uygulamaları
kullanarak cihazlara sızan ve hedefli casusluk saldırıları düzenlemek amacıyla
üretildiği düşünülen Triout, telefon görüşmeleri, mesajlar, fotoğraflar,
videolar ve lokasyonlar gibi bilgileri ele geçirerek siber saldırganların
yönettiği bir sunucuya yönlendiriyor. En son 7 Aralık 2018’de aktif gözüken
yazılımın varlığını tekrar tespit eden Bitdefender Antivirüs araştırmacıları,
yazılımın artık (Psiphon) “com.psiphon3” isimli proxy uygulamasıyla yayıldığını
belirterek gizlenme kabiliyeti oldukça yüksek olan Triout’a karşı uyarıyor.
Gizliliği Yem
Olarak Kullanıyor
Engelli bazı websitelerine giriş sağlayan popüler bir
uygulama olan ve bir öncekiyle aynı kötü niyetli yazılım kökünü barındıran
Psiphon uygulamasının şimdiye kadar 50 milyondan fazla indirildiği ve çoğu
pozitif olmak üzere 1 milyondan fazla yoruma sahip olduğu biliniyor.
Google Play’e ulaşılamayan yerlerde üçüncü parti
mağazalar üzerinden de yayılan Psiphon, siber saldırganlara gelir yaratmak
adına Google Ads, Inmobi Ads ve Mopub Ads olmak üzere üç reklam yazılımını da
kapsıyor. Kullanıcılara daha fazla gizlilik imkanı vaat eden bu uygulamanın
Triout yazılımıyla paketlenerek amacına tamamen zıt şekilde hareket etmesi,
siber saldırganların kullanıcıların gizlilik isteğini bir yem olarak
kullandığına işaret ediyor.
Casus Yazılım
Triout, Gizlenmek İçin Sunucusunu Değiştiriyor
Yazılımdan etkilenen yeni uygulamayı ilk olarak 11 Ekim
2018’de fark ettiklerini dile getiren Bitdefender Antivirüs araştırmacıları,
uygulamanın 2 Mayıs 2018’den 7 Aralık 2018’e kadar aktif olduğunu
gözlemlediklerini belirtiyor. Sonuçlara göre bahsedilen uygulamaya eklenen
paket örneği (MD5: 7ed754a802f0b6a1740a99683173db73 Package Name: com.psiphon3
Signed with Debug Certificate: SHA:61ed377e85d386a8dfee6b864bd85b0bfaa5af81),
daha önce tespit edilen casus yazılım köküyle benzer özellikler içeriyor.
Yeni Triout’taki farklılık ise tehdit aktörlerinin emir
ve kontrol mekanizması olarak kullandıkları sunucuyu değiştirmiş olmaları.
188.165.49.205 IP adresine sahip bu sunucu, aktifliğini hala sürdürerek ciddi
tehlike yaratırken çeşitli ürünler ile ilgili indirimler sunan Fransa merkezli
bir websitesine yönlendirme yapıyor. Sitenin en başından beri siber
saldırganlara ait olduğu ya da ele geçirilip geçirilmediği ise henüz
bilinmiyor.
Mobil Cihazınız
Ajanınız Olmasın!
Android cihaz sayısının çoğalmasının siber saldırganların
eğilimlerini belirlediğini dile getiren Bitdefender Antivirüs araştırmacıları,
kamera, mikrofon, GPS gibi veri biriktiren pek çok sensörün kötü niyetli
yazılımlar nedeniyle birer casusa dönüşebileceğinin altını çiziyor.
Triout gibi hedefli casusluk yazılımlarına karşı uyaran
Bitdefender Antivirüs araştırmacıları, kullanıcıların casus yazılım tehdidinden
uzak kalabilmesi için mutlaka kötü niyetli yazılımları fark eden bir mobil
güvenlik çözümü kullanmaları, işletim sistemlerini en yeni güvenlik
uygulamalarıyla sürekli güncel tutmaları ve uygulamaları sadece resmi
mağazalardan indirmeleri gerektiğini vurguluyor.
“Sıra Dışı
Vaatlerde Bulunan Uygulamalara Dikkat Edin”
Kullanıcıların engelli bir web sitesine erişim gibi yasak
olan ama onlara zararsız gibi görünen işlemleri yapmak için çeşitli üçüncü
parti uygulamalar kullanmasının yanlış olabileceğini dile getiren Bitdefender
Türkiye Operasyon Direktörü Alev Akkoyunlu, bu uygulamaların arka planda başka
güvenlik zafiyetleri yaşatabileceğini vurguluyor. Akkoyunlu, kullanıcıların
sosyal medyada onları gözetleyenleri, başkalarının cep telefonlarına ne isimle
kaydedildiklerini, eski sevgililerin nerede olduğunu öğrenmek amacıyla
başvurdukları birçok uygulamanın aslında cihazlarından kötü niyetli biri ya da
birilerine bilgi sızdırmak için üretilmiş olabileceğini hatırlatarak sıra dışı
vaatlerde bulunan uygulamaları kullanmadan önce iki kere düşünülmesini
öneriyor.
YORUMLAR