Tüm dünya Android cihazların yönetimini ele geçirebilecek yeni bir yazılımı konuşuyor.
Trend Micro tarafından tespit edilen GhostCTRL virüsü, Android cihazlara izinsiz giriyor ve ses dosyalarını, videoları ve birçok dosyayı kaydediyor.
GhostCtrl Virüsü
Trend Micro tarafından ANDROIDOS_GHOSTCTRL.OPS / ANDROIDOS_GHOSTCTRL.OPSA olarak saptanan bu zararlı yazılım, bulaştığı cihazın birçok özelliğini gizlice kontrol altına alabilmesinden dolayı GhostCtrl olarak adlandırılıyor. GhostCtrl’nin üç versiyonu bulunuyor.
İlk sürüm bilgi çalıp bir cihazın işlevlerini kontrol ediyor.
İkincisi ise yeni özellikler ekliyor.
Üçüncüsü eski sürümlerin tüm özelliklerini bir araya getirip sisteme kötü amaçlı bileşenler ekliyor. Her birinin çalışma tekniklerine bakıldığında ise önümüzdeki günlerde bu yazılımın daha da evrimleşmesi bekleniyor.
İlk olarak Kasım 2015’te gazetelere çıkan GhostCtrl’un, ticari olarak da satılan OmniRAT çoklu platformunun bir türü olduğu ya da en azından onu temel aldığı düşünülüyor. Bu yazılım kendisini App, MMS, Whatsapp ve hatta Pokemon GO gibi bilinen uygulama isimlerini kullanarak saklıyor.
GhostCtrl, bulaştığı cihazı kendi emirlerine uyacak şekilde etkileyebiliyor.
GhostCtrl’nin çaldığı veriler diğer Android bilgi hırsızlarıyla karşılaştırıldığında daha kapsamlı kalıyor. GhostCtrl, bahsedilen bilgi tiplerinin yanı sıra Android OS versiyonu, kullanıcı adı, Wi-Fi, batarya, Bluetooth ve ses dosyaları, UiMode, konum, kamera görüntüleri, tarayıcı ve aramalar, aktivite bilgisi ve duvar kağıtları gibi bilgileri de çalıyor. Ayrıca saldırganların belirlediği telefon numaralarından gelen mesajları da engelliyor. En ürkütücü özelliği ise gizlice konuşmaları ya da sesleri kaydetmesi ve ardından da belli bir zaman içinde kontrol & komuta (C&C) sunucusuna yüklemesi. Tüm çalınan içerik C&C sunucusuna yüklenmeden önce şifreleniyor.
GhostCtrl Virüsü Tehlikeleri Neler?
- Saldırgan bir hesabın şifresini silebiliyor ya da yeniden belirleyebiliyor.
- Telefon görüşmelerini engelleyebiliyor.
- Telefonun farklı melodiler ile çalmasını sağlayabiliyor.
- Clipboard içindeki içeriği değiştiriyor.
- Biçimlendirme ve içeriği de içeren kısayol linklerini ve bildirimleri kişiselleştirebiliyor.
- Bluetooth’un kontrolünü ele geçirerek başka bir cihazı aramasını ve ona bağlanmasını sağlayabiliyor.
GhostCtrl Virüsü Tehlikelerini Nasıl Azaltabilirsiniz?
- Cihazınızı devamlı güncelleyin. Android yamalaması parçalıdır ve kurumların cihazın güncel olması için özel taleplere ya da düzenlemelere ihtiyaçları olabilir. Bu yüzden de şirketler üretkenlik ve güvenliği dengeleyecek çözümler kullanmalı.
- “En az ayrıcalık” kuralı uygulanmalı. BYOD (kendi cihazını getir) cihazlarında kullanıcı izinleri sınırlanarak izinsiz erişim ve şüpheli uygulama yüklemeleri engellenmeli.
- Zararlı ve şüpheli uygulamaları saptayarak engelleyecek bir uygulama itibar sistemi kurulmalı.
- Hem uç nokta hem de mobil cihaz seviyesinde firewall, izinsiz giriş belirleme ve engelleme sistemleri uygulayarak zararlı yazılımın ağdaki zararlı etkinlikleri önceden engellenmeli.
- Mobil cihaz yönetim kuralları desteklenip güçlendirilerek ileride karşılaşılabilecek potansiyel güvenlik riskleri azaltılmalı.
- Daha sonradan verilerin zarar görmesini ya da paylaşılmasını engelleyecek şifreleme, ağ bölümlendirilmesi ve veri ayırma işlemleri gerçekleştirilmeli.
- Cihazların kaybolmasına, çalınmasına ya da zararlı şifrelemeye karşı düzenli olarak veriler yedeklenmeli.
Trend Micro, mobil fidye yazılımı Slocker’a karşı dikkatli olma uyarısı yapmıştı. Android dosyalarını şifreleyen bu özel SLocker çeşidi, bir süre önce gerçekleşen WannaCry salgınının başarısından faydalanan ilk fidye yazılımı idi.
