siyah şapka asya Black Hat Asia’daki Trend Micro araştırmacılarına göre, tehdit grupları dünya çapında milyonlarca Android’e daha cihazlar üreticilerinden sevk edilmeden önce kötü amaçlı ürün yazılımı bulaştırdı.
Ağırlıklı olarak mobil cihazların yanı sıra akıllı saatler, TV’ler ve daha fazlasının üretimi, orijinal ekipman üreticisine (OEM) yaptırılıyor, bu da araştırmacılara göre bu sürecin kolayca sızmalarına neden oluyor.
Bir eklenti türü olan proxy eklentileri, kötü niyetli kişilerin cihazları bir seferde yaklaşık beş dakikaya kadar kiralamasına olanak tanır. Örneğin, cihazın kontrolünü kiralayanlar, tuş vuruşları, coğrafi konum, IP adresi ve daha fazlası hakkında veri alabilir.
“Milyonlarca cihaza bulaştırmanın en kolay yolu nedir?” Kıdemli tehdit araştırmacısı Fyodor Yarochkin, meslektaşı Zhengyu Dong ile birlikte konuştu.
Yaşam döngülerinin bu kadar erken bir aşamasında sızan cihazları sıvıyı emen bir ağaçla karşılaştırdı: enfeksiyonu köke yerleştirirsiniz ve her yere, her bir uzuv ve yaprağa yayılır.
Kötü amaçlı yazılım yükleme tekniği, cep telefonu sabit yazılımının fiyatı düştüğünde başladı. Üretici yazılımı dağıtıcıları arasındaki rekabet o kadar kızıştı ki, sonunda sağlayıcılar ürünleri için para talep edemez hale geldi.
Firmware’in istenmeyen bir özellikle, sessiz eklentilerle gelmeye başladığını açıklayan Yarochkin, “Ama elbette bedava şeyler yok,” dedi. Ekip, kötü amaçlı yazılım aramak için düzinelerce üretici yazılımı görüntüsünü manuel olarak analiz etti. Birçoğu yaygın olarak dağıtılmamış olsa da, 80’den fazla farklı eklenti buldular.
En etkili eklentiler, etraflarında bir iş modeli oluşturan ve yeraltı hizmetleri satan, bunları Facebook gibi yerlerde, blog gönderilerinde ve YouTube’da açık bir şekilde pazarlayan eklentilerdi.
Kötü amaçlı yazılımın amacı, bilgileri çalmak veya toplanan veya iletilen bilgilerden para kazanmaktır.
Kötü amaçlı yazılım, cihazları SMS mesajlarını, sosyal medyayı ve çevrimiçi mesajlaşma hesaplarını çalmak ve satmak için kullanılan ve reklamlar ve tıklama sahtekarlığı yoluyla para kazanma fırsatları olarak kullanılan proxy’lere dönüştürür.
Bir eklenti türü olan proxy eklentileri, suçlunun cihazları bir seferde yaklaşık beş dakikaya kadar kiralamasına olanak tanır. Örneğin, cihazın kontrolünü kiralayanlar, tuş vuruşları, coğrafi konum, IP adresi ve daha fazlası hakkında veri alabilir.
Yarochkin, “Proxy kullanıcısı, başka birinin telefonunu 1200 saniyelik bir süre boyunca çıkış düğümü olarak kullanabilecektir” dedi. Ayrıca ekibin, Facebook uygulamasından etkinlik toplamak için kullanılan bir Facebook tanımlama bilgisi eklentisi bulduğunu söyledi.
Araştırmacılar, telemetri verileri aracılığıyla, küresel olarak en az milyonlarca virüslü cihazın var olduğunu, ancak Güneydoğu Asya ve Doğu Avrupa’da merkezileştiğini tahmin ediyor. Araştırmacılar, suçluların kendilerinin bildirdiği bir istatistiğin 8,9 milyon civarında olduğunu söyledi.
Tehditlerin nereden geldiğine gelince, ikili spesifik olarak söylemedi, ancak “Çin” kelimesi tehlikeli aygıt yazılımının geliştirilmesiyle ilgili bir başlangıç hikayesi de dahil olmak üzere sunumda birçok kez geçti. Yarochkin, izleyicilerin dünyadaki OEM’lerin çoğunun nerede olduğunu düşünmeleri ve kendi çıkarımlarını yapmaları gerektiğini söyledi.
“Bu iş için altyapıyı oluşturan insanları tanıyor olmamıza rağmen, bu enfeksiyonun bu cep telefonuna tam olarak nasıl bulaştığını saptamak zor çünkü tedarik zincirine hangi anda girdiğini tam olarak bilmiyoruz. dedi Yarochkin.
Ekip, kötü amaçlı yazılımın en az 10 farklı satıcının telefonlarında bulunduğunu, ancak muhtemelen yaklaşık 40 satıcının daha etkilendiğini doğruladı. Virüs bulaşmış cep telefonlarından kaçınmak isteyenler için, ileri teknolojiye giderek kendilerini korumanın bir yolunu bulabilirler.
Yarochkin, “Samsung gibi büyük markalar, Google gibi tedarik zinciri güvenliklerini nispeten iyi bir şekilde hallettiler, ancak tehdit aktörleri için bu hala çok kazançlı bir pazar” dedi. ®