Cyber-Warrior.Org \ Doküman \ Exploits / Vulnerabilities > Her Şeyi Çalan Banka |.apk Tehlikesi

NÜFUZ

Tordow Enfeksiyonu, Facebook, Twitter, Pokemon Go, Telegram veya Subway Surf gibi popüler bir uygulamanin kurulumuyla baslar. Burada orijinal uygulamalar degil, Google Play Store’un disinda dagitilan kopya uygulamalardan bahsediyoruz. Malware yazanlar orjinal uygulamalari indirip bu uygulamaya yeni kod ve yeni dosyalar ekler.

Orjinal uygulamanin kod eklenmis hali.

Android gelistirme ile ilgili bilgiye sahip olan herkes bunu yapabilir. Sonuçta ortaya çikan, orijinaline birebir benzeyen, orjinal uygulama ile ayni islevleri yerine getiren ancak saldirganlarin ihtiyaç duydugu kötü amaçli islevlere sahip yeni bir uygulamadir.

NASIL ÇALISIR

Bu durumda, orjinal uygulamaya yerlestirilen kod, siber suçlular tarafindan uygulamanin kaynaklarina eklenen dosyanin sifresini çözer ve uygulamayi baslatmaktadir.

Baslatilan dosya, saldirganin sunucusuna haber göndererek dosya indirmeye yönelik baglantilari içeren Tordow’un ana bölümünü indirir (root ayricaliklarini kazanmak için bir exploit, kötü amaçli yazilimin yeni sürümleri gibi zararlilari indirmis olur). Baglantilarin sayisi suçlularin niyetlerine bagli olarak degisebilir; Ayrica, indirilen her dosya sunucudan da indirebilir, sifreleri çözebilir ve yeni bilesenleri çalistirabilir. Sonuç olarak, virüslü cihaza çesitli kötü amaçli modüller yüklenir; Sayisi ve islevleri Tordow sahibinin ne yapmak istediklerine bagli olarak degisir. Saldirganlar her iki durumda da C&C’den komutlar göndererek cihazi uzaktan kontrol etme sansina sahip olur.

Sonuç olarak siber suçlular,simdiden geleneksel hale gelen yöntemleri uygulayarak kurbanlarindan para çalmak için eksiksiz bir yetki elde etti. Kötü amaçli uygulamalarin islevleri sunlari içerir:

- SMS gönderme, çalma ve silmek.
- Çagrilari, yönlendirme ve çagrilari engellemek.
- Hesap bakiyesini görme.
- Rehberde kayitli kisileri çalmak.
- Çagri yapmak.
- Dosya indirip çalistirmak.
- Uygulama kurup kaldirmak.
- Cihazi bloke ederek ve kötücül bir sunucu tarafindan belirlenen bir web sayfasini görüntülemek.
- Cihazda bulunan dosyalarin bir listesini olusturup ve göndermek.
- Telefon yeniden baslatmak.

YETKILI KULLANICI HAKLARI

Tordow, benzersiz özellikler sunan ve root ayricaliklari kazandiran popüler bir exploit paketini de indirir.

Ilk olarak Trojan, sistem klasörüne indirme modülü yükler ki bu trojani kaldirmayi zorlastirir.

Ikinci olarak, saldirganlar süper kullanici yetkilerini kullanarak varsayilan Android tarayicisinin veritabanini ve eger yüklenmisse Google Chrome tarayicisinin veritabanini çalar.

Tarayicilardan sunucuya veri göndermek için kullanilan kod

Bu veritabanlari; tarayicida, tarama geçmisine, çerezlere ve bazen kaydedilmis banka karti ayrintilarina kadar kullanici tarafindan saklanan tüm oturum açma ve sifreleri içerir.

Sonuç olarak, saldirganlar magdurun çesitli sitelerindeki hesaplarina erisebilir.

Üçüncü olarak; süper kullanici yetkileri fotograflardan ve belgelere hatta mobil uygulama hesabi verilerini içeren dosyalara kadar neredeyse sistemdeki her dosyayi çalmayi mümkün kilar.

Bu saldirilar, büyük miktarda kritik kullanici verisinin çalinmasina neden olabilir. Kullanicilarin resmi olmayan kaynaklardan uygulama yüklememelerini ve Android tabanli cihazlari korumak için antivirüs çözümleri kullanmalarini öneriyoruz.