Kaspersky, Android Zararlı Yazılımı Keenadunun Tedarik Zinciri Üzerinden Yayılımını Keşfetti

Kaspersky, Android işletim sistemine sahip cihazları hedef alan ve Keenadu ismi verilen yeni bir zararlı yazılımı tespit etti. Bu kötü amaçlı yazılım, çok katmanlı dağıtım yöntemleri kullanarak cihazlara aygıt yazılımından başlayarak sistem uygulamalarına ve resmi uygulama mağazalarına kadar nüfuz edebilmektedir. Keenadu, bulaştığı cihazları reklam dolandırıcılığı amacıyla birer bot gibi kullanırken, bazı varyantların cihaz üzerinde tam kontrol sağlaması mümkün hale gelmektedir.

Enfeksiyon Yöntemleri ve İşleyişi

Kaspersky’nin araştırmalarına göre, Keenadu’nun bazı sürümleri cihazların aygıt yazılımına (firmware) önceden entegre edilmiştir. Bu versiyonlar, cihazlarda tam yetki sağlayan arka kapılar olarak işlev görmekte ve cihazdaki tüm uygulamalara bulaşabilmektedir. Saldırganlar bu sayede APK dosyaları üzerinden yeni uygulamalar yükleyerek sistem izinlerini kontrol edebilmektedir. Cihazdaki medya dosyaları, mesajlar, bankacılık bilgileri ve konum gibi hassas veriler tamamıyla riske girmektedir. İlave olarak, kullanıcının gizli modda yaptığı aramalar da takip altındadır. Firmware içine entegre edilmesi halinde, zararlı yazılım Çin dil ayarları veya saat dilimi gibi belirli koşullar altında kendini pasif hale getirmektedir.

Diğer varyantlarda ise Keenadu, sistem uygulamalarının içine yerleşmekte ve bu sayede yüksek yetkilerle arka planda uygulama yükleyerek faaliyet göstermektedir. Bazı vakalarda ekran kilidi için kullanılan yüz tanıma sistemine bile erişim sağlandığı tespit edilmiştir. Ayrıca yazılım, cihazın ana ekran arayüzünü yöneten launcher uygulamaları içerisine de sızabilmektedir.

Uygulama Mağazaları Üzerinde Yayılma ve Güvenlik Tavsiyeleri

Kaspersky uzmanları, Keenadu’nun, Google Play gibi resmi uygulama mağazalarında yer alan bazı uygulamalara da bulaştığını ortaya koymuştur. Özellikle 300.000’den fazla indirilen akıllı ev kamerası uygulamalarında bu zararlı tespit edilmiş ve söz konusu uygulamalar kaldırılmıştır. Enfekte uygulamalar, arka planda görünmeyen tarayıcı sekmeleri açarak çeşitli web sitelerinde gizlice gezinme işlemleri yapmaktadır. Bu tür enfeksiyonların bağımsız APK dosyaları ve farklı uygulama mağazaları üzerinden de yayılabildiği belirtilmektedir.

Kaspersky Güvenlik Araştırmacısı Dmitry Kalinin, konuyla ilgili yaptığı açıklamada, ön yüklü zararlı yazılımların Android ekosistemine ciddi bir tehdit oluşturduğunu vurgulamıştır. Cihazların virüslü şekilde kullanıcıya teslim edilebileceğini belirten Kalinin, üretim sürecinde sıkı denetimlerin gerekliliğine dikkat çekmiştir. Ayrıca cihaz sahiplerinin etkin güvenlik çözümleri kullanmasının önemine işaret etmiştir.

Kullanıcıların, cihazlarında etkin güvenlik programları kullanmaları, üreticilerin güncellemelerini takip etmeleri ve enfekte sistem uygulamalarını devre dışı bırakmaları önerilmektedir. Launcher uygulaması enfekte olmuşsa, kullanıcıların üçüncü taraf başlatıcıları tercih etmeleri tavsiye edilmektedir.

Kaynak: BYZHA