Intel Security yayınladığı McAfee Labs Tehdit Raporu: Haziran 2016 ile siber suçluların iki veya daha fazla uygulamayı manipüle ederek kullanıcı verilerinin istismarı, dosyaların incelenmesi, sahte SMS mesajlarının gönderilmesi, kullanıcı rızası olmadan farklı uygulamaların yüklenmesi ve sunucuları kontrol etmek için kullanıcı konumunun gönderilmesi gibi işlemleri nasıl gerçekleştirdiklerini ve mobil uygulamalardaki tuzakların dinamiklerini açıkladı. McAfee Labs mobil video akışı, sağlık gözetimi ve seyahat planlama gibi kullanıcı hizmetleri için tasarlanmış 21 uygulamanın 5000’den fazla sürümünde bu tür kötücül davranışlar tespit etti. Bu uygulamalardaki yazılım güncellemelerinin düzenli olarak yapılmaması eski sürümlerin kötücül niyetli faaliyetlerde kullanılması riskini arttırıyor.
Yıllardır yaygın bir şekilde teorik tehdit olarak düşünülen tuzaklı mobil uygulamalar, mobil işletim sistemlerine özgü uygulamalar arası iletişim özelliklerini kullanarak zararlı işlemler gerçekleştiriyorlar. Bu tür işletim sistemleri kum havuzlarında uygulamaları izole etmek, becerilerini kısıtlamak ve granüler seviyede sahip oldukları izinleri kumanda etmek için pek çok farklı teknik kullanıyor. Mobil platformlarda uygulamaların kum havuzu sınırları üzerinden birbirleriyle iletişime geçebilmesi için çeşitli yöntemler mevcut. Tuzaklı uygulamalar birlikte çalışarak uygulamalar arası becerileri kötü niyetli amaçlara hizmet verecek şekilde kullanabiliyor.
McAfee Labs mobil uygulamalardaki tuzaklardan doğabilecek üç tür tehdit tespit etti:
• Bilgi hırsızlığı: Hassas/gizli bilgilere erişimi olan bir uygulamanın, kasten veya istemeden bir veya birden fazla uygulamayla işbirliği yapması ve cihaz sınırları dışına bilgi göndermesi
• Mali hırsızlık: Bir uygulamanın, mali işlemler gerçekleştirmek veya mali API aramaları yapabilmek amacıyla başka bir uygulamaya bilgi göndermesi
• Hizmetin suistimali: Bir uygulamanın, sistem hizmetini kontrol altına alıp, farklı uygulamalardan komut veya bilgi alarak kötücül amaçlı işlemler gerçekleştirmesidir.
Mobil uygulamalardaki tuzakların oluşabilmesi için şunlara ihtiyaç vardır:
1) Erişimi kısıtlı bilgi veya hizmetlere erişim izni olan en az bir uygulama
2) Erişim iznine sahip olmayan ancak cihaz dışına erişimi olan bir uygulama
3) Bu uygulamaların birbirleriyle iletişim becerisine sahip olmaları
Bu uygulamalardan herhangi biri, veri sızması veya kötücül amaçlı kütüphanenin veya yazılım geliştirme setinin eklenmesi yüzünden kasten veya istemsizce işbirliği yapabiliyor. Bu tür uygulamalar, imtiyazlara ilişkin bilgi alışverişi yapmak ve uzaktan verilen komutlar için giriş noktası olarak kullanılmak üzere hangisinin optimal konumda bulunduğunu tespit etmek için ortak alan (herkesin okuyabileceği dosyalar) kullanabilirler.
Intel Security McAfee Labs Grubu Başkan Yardımcısı Vincent Weafer “Gelişmiş tespit çalışmaları aldatmacalarla ilgili çabaları arttırıyor,” diyor. “Siber suçluların güvenlik çabalarına karşı geliştirdikleri yeni tehditleri akıllıca saklamaya çalışmalarına şaşırmamak gerek. Bizim amacımız, kötücül amaçlı uygulamaların kişisel cihazlarımızda tutunmalarını zorlaştırmak, daha akıllı araç ve yöntemler geliştirerek tuzaklı mobil uygulamaları yakalamaktır.”
Intel Security Türkiye ve Azerbaycan Bölge Direktörü İlkem Özar “McAfee Labs raporu, tuzaklı mobil uygulamaları belirlemek amacıyla tehdit araştırmacıları tarafından gelecekte otomatik olarak kullanılabilecek araçlar yaratmaya yönelik araştırmalardan da bahsetmekte. Bir kez belirlendikten sonra, tuzaklı uygulamalar mobil güvenlik teknolojisi sayesinde engellenebiliyor. Rapor ayrıca mobil uygulama tuzaklarını asgariye indirebilmek için mobil uygulamaların sadece güvenilir kaynaklardan indirilmesi, gömülü reklamlara sahip uygulamaları kullanmaktan kaçınılması, mobil cihazlardaki yazılımların kırılmaması, en önemlisi de işletim sistemi ve uygulamaların daima güncellenmesi gibi kullanıcıya yönelik çeşitli önerilerde bulunuyor” ifadelerini kullandı.
Tüketicilerin bu raporda bahsedilen tehditlerden kendilerini nasıl koruyacaklarına dair verilen güvenlik tavsiyeleri için Tüketici Güvenlik İpuçları Blog sayfasını ziyaret etmeleri önerilmekte.
2016 yılının ilk üç aylık raporu ayrıca W32/Pinkslipbot Trojan (Qakbot, Akbot, QBot olarak da biliniyor) virüsünün geri döndüğünü açıklıyor. Solucan benzeri özellikleriyle ilk defa 2007 yılında ortaya çıkan, sisteme izinsiz erişim sağlayan ve hasar verici etkiye sahip olan bu Trojan virüsü, banka bilgileri, eposta şifreleri, dijital sertifika hırsızlığında kullanılan kötücül amaçlı yazılım ailesi olarak hızla ün kazanmıştı. Pinkslipbot, kötücül yazılım araştırmacılarının bu virüsü parçalayarak geri mühendislik çabalarını engellemek amacıyla anti-analiz ve çok katmanlı şifreleme gibi özelliklerle donanmış olarak 2015 yılı sonlarında yeniden ortaya çıktı. Raporda, Trojan’ın oto-güncelleme ve veri sızdırma mekanizması hakkında ayrıntılı bilgilerin yanı sıra McAfee Labs sayesinde Pinkslipbot virüsü bulaşmalarını ve bilgi hırsızlığını nasıl gerçek zamanlı olarak izleyebileceğiniz anlatılıyor.
Son olarak, McAfee Labs ana akım hesaba dayalı adresleme (hashing) işlevlerinin durumunu inceliyor ve işletmelere en son çıkan, en güçlü hashing standartlarını uygulayarak sistemlerini bir an önce güncellemelerini öneriyor.
2016 İlk Çeyreğindeki Tehdit İstatistikleri
• Fidye yazılımlar. Düşük vasıflı suçluların da fidye yazılım siber suç çevrelerine girmeye başlamaları ile yeni fidye yazılım örneklerinde bu çeyrek dönemde %24 oranında artış yaşandı.
• Mobil. Yeni mobil kötücül yazılım örnekleri 2016 yılı ilk çeyreğinde bir önceki döneme göre %17 oranında arttı. Toplamda mobil kötücül yazılım örneğindeki artış ise %23 oranında gerçekleşerek, son bir yıllık dönemdeki artışı %113’e taşıdı.
• Mac OS’a yönelik kötücül yazılımlar. Özellikle VSearch zararlı reklam yazılımındaki artış nedeniyle Mac OS’a yönelik kötücül yazılımlar yılın ilk çeyrek döneminde hızla büyüdü. Toplam örnek sayısı son çeyrekte %68 oranında, son bir yılda ise %559 arttı.
• Makro kötücül yazılım. Yeni makro kötücül yazılım örneklerindeki 2015 yılında %42 oranında yaşanan artış halen devam ediyor. Yeni makro kötücül yazılım türleri sosyal mühendislik aracılığıyla derlenen bilgileri kullanan gelişmiş spam saldırılarıyla kurumsal ağlara saldırmayı sürdürüyor.
• Gamut botnet. Hacmini yaklaşık %50 oranında arttıran Gamut botnet, ilk çeyreğin en etkin spam botneti oldu. Yaygın spam saldırıları, hızla zengin olma vaatleri ve sahte ilaç tedariki sunuyor gibi görünüyor. 2015 yılı son çeyreğinde en hızla yaygınlaşan spam botnet olan Kelihos ise dördüncü sıraya yerleşti.