Kaspersky Lab, hem Android hem de iOS ile çalışan, daha önce tespit edilmemiş mobil trojanları belirleyen yeni bir araştırma raporu yayınladı. Rapor, ‘Uzaktan Kontrol Sistemi’ndeki (RCS) zararlı yazılım eklentilerini kontrol etmek için kullanılan büyük bir uluslararası altyapıyı saptıyor. Bu modüller, İtalyan şirketi HackingTeam tarafından geliştirilen ve ‘yasal’ casus yazılım aracı olarak bilinen RCS, diğer adıyla Galileo’nun birer parçası.
İş ortağı Citizen Lab ile birlikte Kaspersky Lab tarafından yapılan yeni araştırmada yer alan kurban listesinde, gazeteciler ve politikacıların yanı sıra aktivistler ve insan hakları savunucuları da yer alıyor.
RCS altyapısı
Kaspersky Lab, Galileo’nun dünya genelindeki komuta ve kontrol (C&C) sunucularının yerini belirlemek için farklı güvenlik yaklaşımları üzerinde çalışıyor. En son analiz sırasında Kaspersky Lab araştırmacıları, 40’ın üzerinde ülkede 320’den fazla RCS C&C sunucusunun varlığını eşleştirmeyi başardı. Sunucuların çoğu ABD, Kazakistan, Ekvador, İngiltere ve Kanada’da bulunuyordu.
Son bulguları yorumlayan Kaspersky Lab Baş Güvenlik Araştırmacısı Sergey Golovanov şunları söyledi: “Bu sunucuların belirli bir ülkede bulunuyor olması, bu sunucuların o ülkenin emniyet teşkilatı tarafından kullanıldığı anlamına gelmez. Yine de RCS kullanıcılarının kontrolleri altında olan ve sınır ötesi hukuki konulardaki riskin veya sunucu yakalama riskinin en az olduğu yerlerde C&C’ler bulundurması mantıklı görünüyor.”
RCS mobil eklentiler
HackingTeam’in iOS ve Android ile çalışan mobil trojanlarının geçmişte de mevcut olduğu bilinmesine rağmen, daha önce bunların saldırılarda kullanıldığını tespit eden ya da fark eden olmamıştı. Kaspersky Lab uzmanları, RCS zararlı yazılımını son birkaç yıldır araştırıyor. Bu yılın başlarında, kendi koleksiyonlarında bulunan diğer RCS zararlı yazılım yapılandırma profilleri ile uyumlu belirli mobil modül örnekleri tespit etmeyi başardı.
Hedefi yemleme yöntemine dikkat
Galileo RCS’nin arkasındaki operatörler, her somut hedef için özel bir zararlı yazılım eklentisi oluşturuyor. Örnek hazırlandıktan sonra, saldırgan bu örneği kurbanın mobil cihazına iletiyor. Bilinen bulaşma vektörlerinden bazıları sosyal mühendislik aracılığıyla yapılan spearphishing (hedefi yemleme) yöntemini de içermekte. Bu da genellikle sıfır gün de dahil olmak üzere açıklardan yararlanma amaçlı kodlar ve mobil cihazları USB kabloları ile senkronize ederken gerçekleşebilecek bölgesel bulaşmalar ile birlikte kullanılıyor.
Önemli bulgulardan biri de bir Galileo mobil Trojan’ın bir iPhone’u tam olarak etkilediğini öğrenmek oldu: bunu yapabilmek için cihazın yazılım kısıtlamalarının aşılmış olması gerekmekte. Yine de yazılım kısıtlamaları aşılmamış iPhone’lar da savunmasız olabilir: bir saldırgan önceden virüs bulaşmış bilgisayar üzerinden ‘Evasi0n’ gibi bir jailbreak aracını uzaktan çalıştırabilir. Bulaşma risklerini önlemek için Kaspersky Lab uzmanları, her şeyden önce iPhone’nunuzun yazılım kısıtlamalarını aşmamanızı ve ikinci olarak da cihazınızın işletim sistemini (iOS) sürekli olarak son sürümü ile güncellemenizi öneriyor.
Özel Casusluk
RCS mobil modülleri, titizlikle gizlice çalışacak şekilde tasarlanmış. Örneğin bunu mobil cihazın pil ömrünü yakından takip ederek yapabilir. Ya da dikkatle özelleştirilmiş casusluk yetenekleri veya özel tetikleyiciler ile de uygulanabilir: örneğin, kurban yalnızca belirli bir Wi-Fi ağına (örneğin, bir medya ajansının ağı) bağlandığında bir ses kaydı başlayabilir ya da kurban SIM kartı değiştirdiğinde ya da cihaz şarjda iken gibi.
Genel olarak, RCS mobil Trojanlar, hedefin yerini bildirme, fotoğraf çekme, takvim etkinliklerini kopyalama, virüsün bulaştığı cihaza yeni takılan SIM kartları kaydetme ve çağrılar ile mesajları ele geçirme de dahil olmak üzere çok sayıda farklı gözetim işlevine sahiptir. Mesajları ele geçirme, normal SMS metinlerinin yanı sıra Viber, WhatsApp ve Skype gibi özel uygulamalar üzerinden gönderilen mesajları da içerir.
Kaspersky Lab ürünlerinin tespit ettiği RCS/DaVinci/Galileo casus yazılım araçları:
Backdoor.Win32.Korablin,
Backdoor.Win64.Korablin,
Backdoor.Multi.Korablin,
Rootkit.Win32.Korablin,
Rootkit.Win64.Korablin,
Rootkit.OSX.Morcut,
Trojan.OSX.Morcut,
Trojan.Multi.Korablin,
Trojan.Win32.Agent,
Trojan-Dropper.Win32.Korablin,
Trojan-PSW.Win32.Agent,
Trojan-Spy.AndroidOS.Mekir
Backdoor.AndroidOS.Criag.
tarafından verilmektedir.