Kaspersky, yetkisiz perakendeciler aracılığıyla satıldığı iddia edilen sahte Android akıllı telefonlara önceden yüklenmiş kötü amaçlı yazılım olan yeni ve gelişmiş "Triada Truva Atı" sürümünü keşfetti.
Şirketten yapılan açıklamaya göre, sistem yazılımına gömülü olan bu kötü amaçlı yazılım, fark edilmeden çalışarak saldırganlara enfekte cihazlar üzerinde tam kontrol sağlıyor. Dünya genelinde 2 bin 600'den fazla kullanıcı bu tehditten etkilendi.
Kötü amaçlı uygulamalar aracılığıyla yayılan tipik mobil kötü amaçlı yazılımların aksine, bu Triada varyantı sistem çerçevesine entegre edilerek çalışan her sürece sızıyor. Bu sayede geniş çapta kötü amaçlı faaliyetler gerçekleştirebiliyor.
Şirket, kötü amaçlı faaliyetleri, Telegram, TikTok, Facebook ve Instagram dahil olmak üzere mesajlaşma ve sosyal medya hesaplarını çalmak, WhatsApp ve Telegram gibi uygulamalarda mesaj gönderme ve silme, kripto para cüzdan adreslerini değiştirmek, arayan kimlikleri taklit ederek telefon aramalarını yeniden yönlendirmek, tarayıcı etkinliğini izleme ve bağlantılar enjekte etme, SMS mesajlarını yakalama, gönderme ve silme, Premium SMS ücretlerini etkinleştirme, ek yüklerin indirilmesi ve yürütülmesi ve potansiyel olarak dolandırıcılık önleme sistemlerini atlamak için ağ bağlantılarını engelleme şeklinde sıraladı.
Kaspersky çözümleri, bu varyantı "Backdoor.AndroidOS.Triada.z" olarak tespit ediyor. İlk olarak 2016'da keşfedilen Triada, sistem seviyesindeki ayrıcalıkları kullanarak dolandırıcılık yapmak, SMS doğrulamalarını ele geçirmek ve tespit edilmekten kaçınmak için sürekli olarak evrim geçirdi. Bu son kampanya, saldırganların sahte cihazlara donanım yazılımı seviyesinde kötü amaçlı yazılım yerleştirmek için muhtemelen tedarik zincirindeki güvenlik açıklarından yararlandığını göstererek endişe verici bir yükselişi işaret ediyor.
Açıklamada görüşlerine yer verilen Kaspersky Tehdit Araştırma Ekibinden Kötü Amaçlı Yazılım Analisti Dmitry Kalinin, Triada Truva Atı'nın, Android ekosistemindeki en gelişmiş tehditlerden biri haline geldiğini belirtti.
Bu yeni sürümün, cihaza henüz kullanıcıya ulaşmadan, doğrudan üretim aşamasında sızarak donanım yazılımı seviyesinde çalıştığına değinen Kalinin, "Bu durum, tedarik zincirinde bir güvenlik açığı olduğunu gösteriyor. Açık kaynaklardan yapılan analizlere göre, saldırganlar çalınan kripto paralarla en az 270 bin doları kendi cüzdanlarına aktardı. Ancak Monero gibi izlenmesi zor kripto paraların kullanımı nedeniyle gerçek toplamın daha yüksek olması muhtemel." ifadelerini kullandı.
