31 Ağustos 2017

Dikkat: Android telefonlarda botnet tehlikesi artıyor

Sokakta nasıl yanınıza gelecek yabancı bir kişiye karşı dikkatli olmak zorunda iseniz, internette de öyle, tanımadığınız kişilere ya da linklere karşı dikkatli davranın

Bayramda, mobil uygulamaları daha çok kullanacağınızı düşünerek, yeni bir tehlikeye karşı uyarı yapalım; Android telefonlarınıza yükleyeceğiniz mobil uygulamalara dikkat edin.

Playstore Trojan bulaştırmak için kullanılmış

Ağustos ayından meydana gelen bir dizi dDOS saldırısı ile ilgili olarak,  güvenlik araştırmacıları yeni bir botnet'i ortaya çıkardı. “WireX Botnet” adı verilen bu saldırı aracı Android telefonlar üzerinden saldırıyor. Ama asıl ilginci, WireX'in trojanlarının Android telefonlara nasıl girdiği konusu.

Çok şaşırtıcı ama; trojanlar telefonlara Google Play Store üzerinden girmiş. Araştırmacıların tespit ettiği 300 kadar birbirinden bağımsız Android uygulama, cep telefonlarına virüs bulaştırıyor. Bu virüsler uzunca bir süre beklemişler. Ama ağustos başından itibaren harekete geçmiş gözüküyorlar.

Ağustos başında, araştırmacılar küçük boyutlu dDos saldırıları keşfetmişler. Ağustos ortalarına doğru bu saldırılar büyümeye başlamış. Geçen yıl ki, Mirai (IoT cihazları kullanan ilk saldırı) saldırıları sonrasında güvenlikçiler birlikte çalışmaya başladılar.

Sonuçta en yüksek anında 100’den fazla ülkeden 70.000’in üzerinde Android telefondan kaynaklanan bir devasa dDOS saldırısı tespit edilmiş. Araştırmacılar “Android Clicker” diye de bilinen bu botnet ile toplam 120.000 kadar telefonun kullanıldığını belirtiyorlar.

Google, 300 Play Store uygulamasını kaldırdı

Google olayın ortaya çıkması üzerine,  bu 300 kadar uygulamayı, Playstore'dan kaldırdı.

Google, olayın ortaya çıkarılması sonrasında, çoğunlukla Rusya, Çin ve diğer Asya ülkelerindeki kullanıcılar tarafından indirilen 300 kadar uygulamayı PlayStore’dan kaldırdı.  Ancak WireX botnet'inin hala aktif olduğu kaydediliyor. 

WireX botnetinin, genellikle içerik dağıtım networklerini hedeflediği belirtiliyor. Bir güvenlikçi, saldırganların fidye istediğini de kaydetti. 
 
Geçen ay da, Google Play Store üzerinde ilk kötücül kod içeren Android uygulaması tespit edilmişti. Bir kaç gün sonra ise, araştırmacılar PlayStore üzerinde bu sefer "Xavier" adı verilen başka bir Android SDK kütüphanesi keşfettiler. Bu kötücül kod, Google Play Store üzerinden milyonlarca defa indirilen 800'den fazla uygulama içinde bulunuyordu.

Küresel saldırılar, güvenlikçileri ortak çalışmaya itiyor

Akamai, CloudFlare, Dyn, Flashpoint, Google, Oracle, RiskIQ, Team Cymru gibi farklı İnternet teknolojisi ve güvenlik şirketlerinden araştırmacılar, bu siber saldırıları tespit ettikten sonra, mücadele etmek için işbirliği yaptılar. Buldukları sonuç çarpıcıydı; saldırganlar, Google Playstore'u trojan yükleme ortamı olarak kullanıyorlardı. 

Ama -bir kısmı rakip olan- güvenlik araştırmacılarının birlikte çalışmaya başlamaları da çarpıcı bir durum [1]. İnternet çapındaki saldırıların çözümünde ortak çalışmaları, geçen yıl ki Mirai notnet saldırısından sonra yeniden başlamıştı. WannaCry, Petya ve diğer küresel saldırılarda bu ortak çalışmalar güçlendi. 

Güvenlikçiler, WireX botnet saldırılarıyla ilgili bulguların, ancak DDoS hedefleri ile güvenlik firmaları arasındaki işbirliği sayesinde çözülebildiğini söylüyor. Bunun için saldırı altındaki kuruluşların daha fazla bilgi paylaşımı yapmaları ve özellikle sayısal bilgi vermeleri istenmiş. Bu bilgiler biraraya konulduğunda, olay anlaşılabilmiş. 

Kısa süreli dDOS'lar daha tehlikeli

Kısa süreli DDoS saldırılarının etkilerinin bazen farkedilmediği ama aslında tehlikeli olduğu kaydediliyor. Çünkü küçük boyutları nedeniyle "hayalet saldırı" olarak adlandırılan bu saldırılar networkün yapısının ve üzerindeki cihazların tespiti, içeriye kod sızdırma gibi fonksiyonlar yerine getirebiliyor. 

Android telefon sahiplerine tavsiyeler

Peki, Google PlayStore'a güvenemeyecek miyiz? O zaman telefonumuza uygulamaları nereden indireceğiz?

Android'in servis mimarisi nedeniyle, trojan içeren uygulamalar, arka planda iken ya da çalışmadığında bile saldırı başlatabiliyor. Bu ifade ise Android kullanıcılarına bir uyarı anlamını taşıyor; demek ki, her yükledikleri uygulamanın "izin"lerini dikkatle kontrol etmeliler. 

Bu konudaki tavsiyelerimizden önce, hatırlatalım; telefonunuzdaki Android'in yeni versiyonu ise Google Play Koruma özelliği mevcuttur. Bu WireX botnet'ine ait uygulamaları otomatik olarak cihazından silecektir. Play Koruma (Protect) Google'un yeni duyurduğu bir güvenlik uygulaması. Kendi kendine öğrenen bir algorirma kullanıyor ve kullanım analizi yaparak, kötücül kod içerenleri telefonlardan kendisi siliyor. 

Bunun dışında, sizin dikkat etmeniz gereken hususlar şunlar;

  • Bildiğiniz geliştiricilerin uygulamalarını indirin. Her önünüze gelen uygulamayı yüklemekten kaçının. 
  • Cep telefonunuzda da bir antivirüs yazılım kullanın ve bu yazılımı güncel tutun.
  • Yüklediğiniz uygulamaların çalışma izinlerini de "Ayarlar"dan inceleyin ve gerekirse değiştirin. Örneğin siz açmadıkça, arka planda çalışmasın.


Twitter’da “Merhaba hesabınıza bilmem nereden giriş yapıldı” mesajı

Bir de Twitter ile ilgili güvenlik uyarımız var. Eğer DM (yani özel mesaj) bölümünden, tanıdığınız ya da tanımadığınız birisinden ve özellikle sanki Twitter’dan geliyormuş gibi, şöyle bir mesaj gelirse:

Merhaba, hesabınıza Türkiye-Aksaray yerinden giriş sağlandı, eğer siz değilseniz adınıza özel oluşturulan bağlantıdan lütfen hesabınızı doğrulayınız. http://acount-twiter.gq.... Twitter 812 Twitter Inc

Bu hesabınızı ele geçirmek için sizi sahte bir linke gönderen bir mesajdır. Sahte bir hesap üzerinden ya da arkadaşınızın ele geçirilmiş hesabından geliyor olabilir. Verilen linke dikkatle bakarsanız zaten bunun kötü bir link olduğunu anlarsınız.

Yapacağınız 2 şey var;

  • Bu linke TIKLAMAMAK
  • Bu hesap, eğer arkadaşınızın hesabı ise onu uyarmak, yabancı birisi ise, Twitter’a raporlamak (şikayet etmek).

Unutmayın, internet aynen gerçek hayat gibidir. Sokakta nasıl yanınıza gelecek yabancı bir kişiye karşı dikkatli olmak zorunda iseniz, internette de öyle, tanımadığınız kişilere ya da linklere karşı dikkatli davranın.


[1] The WireX Botnet: How Industry Collaboration Disrupted a DDoS Attack

 

Yazarın Diğer Yazıları

Neden internetten bihaber bakanlar atanıyor?

Bu fiber altyapı ile çoktan dijital uçuruma düşmüş durumdayız. AKP ekonomiyi beceremediği gibi, telekom - internet sektörünü yönetmeyi de beceremiyor

Uydudan telefon görüşmesi yakınlaştı

Mevcut fiber altyapımızla, beklenen İstanbul depreminde, haberleşmenin yine çökmesi şaşırtıcı olmaz. Bu duruma bir çözüm uydudan mobil telefona teknolojilerinin gelişiyor olması. Acaba ülkemizde ne zaman kullanabiliriz?

Depremde bant daraltma yapan BTK nedenini açıklasın

Kahramanmaraş merkezli depremde, bant daraltma kararının nasıl verildiğini veya neden böyle bir karar verilebildiğini öğrenmemiz, bir daha aynı hatanın tekrarlanmaması için çok önemli. O nedenle BTK'nın binlerce belki on binlere kişiyi etkileyen bu kararı nasıl verdiğini ya da uyguladığını açıklaması lazım