Google Play’de yayımlanan kimi saf görünümlü Android uygulamaları milyonlarca kullanıcıyı farkında olmadan tehlikeye attı. Güvenlik araştırmacıları “NoVoice” ismi verilen yeni bir zararlının en az 2,3 milyon indirme üzerinden aygıtlara bulaştığını ortaya çıkardı.

Temizlik araçları, galeri uygulamaları ve taşınabilir oyunlar üzere görünen 50’den fazla uygulama, aslında bu ziyanlı yazılımı taşıyordu. Enteresan olan şu: Bu uygulamalar kuşkulu müsaadeler istemiyordu ve nitekim çalışıyordu. Yani kullanıcıya verdiği kelamı tutuyordu.

Sorun ise art planda başlıyordu.

NoVoice nasıl çalışıyor?

Siber güvenlik şirketi McAfee araştırmacıları zararlıyı incelerken farklı bir teknikle karşılaştı.

NoVoice, uygulama açıldıktan sonra aygıtta root erişimi almaya çalışıyor. Bunun için Android’de yıllar evvel keşfedilen fakat hâlâ kimi aygıtlarda açık olan güvenlik kusurlarını kullanıyor. Bu açıklar 2016 ile 2021 ortasında yamalandı.

Zararlı ayrıyeten kendini gizlemek için Facebook yazılım bileşenleri ortasında saklanıyor. Kodlar com.facebook.utils paketine yerleştiriliyor ve gerçek Facebook SDK sınıflarıyla karıştırılıyor.

Daha da ilginci var.

Asıl ziyanlı kod bir PNG görsel evrakının içinde saklanıyor. Bu teknik “steganografi” olarak biliniyor. Uygulama bu belgeyi açıyor, içindeki bilinmeyen APK’yı çıkarıyor ve sistem belleğine yüklüyor. Akabinde tüm süreksiz belgeleri silerek iz bırakmıyor.

Bazı bölgelerde çalışmıyor

Araştırmacılar zararlının birtakım bölgelerde kendini bilhassa durdurduğunu da fark etti.

Örneğin Çin’deki Beijing ve Shenzhen üzere kentlerde ziyanlı çalışmıyor. Ayrıyeten sistemde emülatör, debugger yahut VPN olup olmadığını anlamak için 15 farklı denetim yapıyor.

Ama pozisyon müsaadesi yoksa bile bulaşma süreci durmuyor.

Cihaz bilgilerini toplayıp atak planlıyor

Zararlı aygıtı ele geçirmek için evvel bilgi topluyor.

NoVoice, denetim sunucusuna bağlanıyor ve şu bilgileri gönderiyor:

• cihaz donanımı

• Android sürümü

• güvenlik yaması seviyesi

• kernel sürümü

• yüklü uygulamalar

• cihazın root durumu

Bu bilgiler saldırganın hangi açığı kullanacağına karar vermesini sağlıyor.

Ardından ziyanlı her 60 saniyede bir sunucuyla bağlantı kuruyor ve aygıt için uygun exploit belgelerini indiriyor.

Root yetkisi alınca sistemi baştan yazıyor

McAfee araştırmacıları zararlının 22 farklı exploit kullandığını tespit etti. Bunların içinde kernel yanlışları ve Mali GPU şoför açıkları da bulunuyor.

Root erişimi alındığında aygıtın temel güvenlik sistemi devre dışı bırakılıyor. Ziyanlı daha sonra kimi kritik sistem kütüphanelerini değiştiriyor.

Örneğin:

• libandroid_runtime.so

• libmedia_jni.so

Bu evraklar değiştirilince sistem davetleri saldırganın koduna yönlendiriliyor.

Fabrika ayarı bile kurtarmayabilir

NoVoice’un en tehlikeli istikametlerinden biri kalıcılık düzeneği.

Zararlı:

• kurtarma scriptleri yüklüyor

• sistem yanılgı yöneticisini değiştiriyor

• sistem kısmına bilinmeyen yükler bırakıyor

Sorun şu: Sistem kısmı fabrika ayarına döndürme sırasında temizlenmiyor. Bu yüzden ziyanlı birtakım durumlarda resetten sonra bile kalabiliyor.

Ayrıca her 60 saniyede çalışan bir denetim süreci var. Bu süreç ziyanlı evrakların silinip silinmediğini denetim ediyor. Bir şey eksikse tekrar indiriyor.

Asıl maksat: WhatsApp verileri

Saldırı başarılı olduktan sonra ziyanlı aygıttaki tüm uygulamalara kod enjekte ediyor.

İki ana modül devreye giriyor:

• Uygulamaları sessizce yükleyip kaldırabilen modül

• İnternet erişimi olan uygulamalardan data çalan modül

Araştırmacılar bilhassa WhatsApp’ın maksat alındığını tespit etti.

Kullanıcı WhatsApp’ı açtığında ziyanlı şu dataları topluyor:

• şifreleme veritabanları

• Signal protokol anahtarları

• telefon numarası

• Google Drive yedekleme bilgileri

Bu bilgiler saldırganın kurbanın WhatsApp oturumunu kendi aygıtında klonlamasına müsaade veriyor.

Google Play’den kaldırıldı ancak risk bitmiş değil

McAfee bu uygulamaları Google’a bildirdi. Google da tüm ziyanlı uygulamaları Play Store’dan kaldırdı.

Google ayrıyeten şu açıklamayı yaptı:

Mayıs 2021’den sonra güncellenmiş Android aygıtlar bu zararlıdan etkilenmiyor. Zira kullanılan güvenlik açıkları yıllar evvel kapatıldı.

Ek olarak Google Play Protect, bu uygulamaları otomatik olarak kaldırıyor ve tekrar yüklenmesini engelliyor.

Ancak bu uygulamaları daha evvel indiren kullanıcılar için risk devam ediyor. Uzmanlara nazaran bu aygıtların dataları ele geçirilmiş olabilir.

Android kullanıcıları ne yapmalı?

Uzmanlar birkaç kolay teklif veriyor:

• Android aygıtınızı şimdiki tutun

• eski güvenlik yamasına sahip aygıtları kullanmayın

• uygulamaları yalnızca emniyetli geliştiricilerden indirin

• Play Store’da olsa bile bilinmeyen uygulamalara dikkat edin

Özellikle 2021’den evvelki güvenlik yamalarına sahip aygıtlar bu cins hücumlara karşı daha savunmasız.