McAfee, siber suçluların iki veya daha fazla uygulamayı manipüle ederek kullanıcı verilerinin istismarı, dosyaların incelenmesi, sahte SMS mesajlarının gönderilmesi, kullanıcı rızası olmadan farklı uygulamaların yüklenmesi ve sunucuları kontrol etmek için kullanıcı konumunun gönderilmesi gibi işlemleri nasıl gerçekleştirdiklerini ve mobil uygulamalardaki tuzakların dinamiklerini açıkladı.
McAfee, mobil video akışı, sağlık gözetimi ve seyahat planlama gibi kullanıcı hizmetleri için tasarlanmış 21 uygulamanın 5000'den fazla sürümünde bu tür kötücül davranışlar tespit etti. Bu uygulamalardaki yazılım güncellemelerinin düzenli olarak yapılmaması eski sürümlerin kötücül niyetli faaliyetlerde kullanılması riskini arttırıyor.
Yıllardır yaygın bir şekilde teorik tehdit olarak düşünülen tuzaklı mobil uygulamalar, mobil işletim sistemlerine özgü uygulamalar arası iletişim özelliklerini kullanarak zararlı işlemler gerçekleştiriyorlar. Bu tür işletim sistemleri kum havuzlarında uygulamaları izole etmek, becerilerini kısıtlamak ve granüler seviyede sahip oldukları izinleri kumanda etmek için pek çok farklı teknik kullanıyor.
Mobil platformlarda uygulamaların kum havuzu sınırları üzerinden birbirleriyle iletişime geçebilmesi için çeşitli yöntemler mevcut. Tuzaklı uygulamalar birlikte çalışarak uygulamalar arası becerileri kötü niyetli amaçlara hizmet verecek şekilde kullanabiliyor.
Mobil uygulamalardaki tuzaklardan doğabilecek üç tür!
- Bilgi hırsızlığı: Hassas/gizli bilgilere erişimi olan bir uygulamanın, kasten veya istemeden bir veya birden fazla uygulamayla işbirliği yapması ve cihaz sınırları dışına bilgi göndermesi
- Mali hırsızlık: Bir uygulamanın, mali işlemler gerçekleştirmek veya mali API aramaları yapabilmek amacıyla başka bir uygulamaya bilgi göndermesi
- Hizmetin suistimali: Bir uygulamanın, sistem hizmetini kontrol altına alıp, farklı uygulamalardan komut veya bilgi alarak kötücül amaçlı işlemler gerçekleştirmesidir.
Mobil uygulamalardaki tuzaklar neden oluşur?
- Erişimi kısıtlı bilgi veya hizmetlere erişim izni olan en az bir uygulama
- Erişim iznine sahip olmayan ancak cihaz dışına erişimi olan bir uygulama
- Bu uygulamaların birbirleriyle iletişim becerisine sahip olmaları
Bu uygulamalardan herhangi biri, veri sızması veya kötücül amaçlı kütüphanenin veya yazılım geliştirme setinin eklenmesi yüzünden kasten veya istemsizce işbirliği yapabiliyor. Bu tür uygulamalar, imtiyazlara ilişkin bilgi alışverişi yapmak ve uzaktan verilen komutlar için giriş noktası olarak kullanılmak üzere hangisinin optimal konumda bulunduğunu tespit etmek için ortak alan (herkesin okuyabileceği dosyalar) kullanabilirler.
2016 yılının ilk üç aylık raporu ayrıca W32/Pinkslipbot Trojan (Qakbot, Akbot, QBot olarak da biliniyor) virüsünün geri döndüğünü açıklıyor. Solucan benzeri özellikleriyle ilk defa 2007 yılında ortaya çıkan, sisteme izinsiz erişim sağlayan ve hasar verici etkiye sahip olan bu Trojan virüsü, banka bilgileri, eposta şifreleri, dijital sertifika hırsızlığında kullanılan kötücül amaçlı yazılım ailesi olarak hızla ün kazanmıştı.
Pinkslipbot, kötücül yazılım araştırmacılarının bu virüsü parçalayarak geri mühendislik çabalarını engellemek amacıyla anti-analiz ve çok katmanlı şifreleme gibi özelliklerle donanmış olarak 2015 yılı sonlarında yeniden ortaya çıktı.
Raporda, Trojan'ın oto-güncelleme ve veri sızdırma mekanizması hakkında ayrıntılı bilgilerin yanı sıra McAfee Labs sayesinde Pinkslipbot virüsü bulaşmalarını ve bilgi hırsızlığını nasıl gerçek zamanlı olarak izleyebileceğiniz anlatılıyor.
2016 İlk Çeyreğindeki Tehdit İstatistikleri
Fidye yazılımlar: Düşük vasıflı suçluların da fidye yazılım siber suç çevrelerine girmeye başlamaları ile yeni fidye yazılım örneklerinde bu çeyrek dönemde %24 oranında artış yaşandı.
Mobil: Yeni mobil kötücül yazılım örnekleri 2016 yılı ilk çeyreğinde bir önceki döneme göre %17 oranında arttı. Toplamda mobil kötücül yazılım örneğindeki artış ise %23 oranında gerçekleşerek, son bir yıllık dönemdeki artışı %113'e taşıdı.
MacOS'a yönelik kötücül yazılımlar: Özellikle VSearch zararlı reklam yazılımındaki artış nedeniyle Mac OS'a yönelik kötücül yazılımlar yılın ilk çeyrek döneminde hızla büyüdü. Toplam örnek sayısı son çeyrekte %68 oranında, son bir yılda ise %559 arttı.
Makro kötücül yazılım: Yeni makro kötücül yazılım örneklerindeki 2015 yılında %42 oranında yaşanan artış halen devam ediyor. Yeni makro kötücül yazılım türleri sosyal mühendislik aracılığıyla derlenen bilgileri kullanan gelişmiş spam saldırılarıyla kurumsal ağlara saldırmayı sürdürüyor.
Gamut botnet: Hacmini yaklaşık %50 oranında arttıran Gamut botnet, ilk çeyreğin en etkin spam botneti oldu. Yaygın spam saldırıları, hızla zengin olma vaatleri ve sahte ilaç tedariki sunuyor gibi görünüyor. 2015 yılı son çeyreğinde en hızla yaygınlaşan spam botnet olan Kelihos ise dördüncü sıraya yerleşti.