Google, çok sıkı güvenlik önlemleriyle korunsa da kötü niyetli bilgisayar korsanları şirketin algoritmasına sızmayı bir şekilde başarabiliyor. En sık kullanılan yöntemlerin başında da ‘Truva Atı’ geliyor.
Bu yıl Şubat ayında bilgisayar ve internet güvenliği üzerine çözümler sunan Kaspersky tarafından ifşa edilen virüs, Google Play Store’da yeniden gündeme geldi. Kaspersky araştırmacısı Igor Golovin, “Siber korsanların Google Play’deki uygulamaları indirdiği, bunlara kötü amaçlı kodlar eklediği ve farklı isimler kullanarak Google Play’e geri yüklediğine çok kez şahit olduk” ifadelerini kullandı.
Bu yöntem ile fatura ve SMS dolandırıcılığı üzerinden özellikle Android cihazlarına saldıran virüs, aynı zamanda mesajları, kişi rehberini ve cihaz bilgileri dışında pek çok bilgiyi ele geçirmek gibi kötü niyetli eylemlerde bulunuyor.
VİRÜS, GÜNCEL VE TALEP GÖREN UYGULAMALARIN İÇİNE SAKLANIYOR!
Konuya dair görüşlerine başvurduğum Siber Güvenlik Uzmanı Osman Demircan, “Genel olarak herkes tarafından talep edilen, internette sıklıkla aranan ve ücretli bir programın değiştirilerek ücretsiz halleri gibi paylaşılan yazılımlarda karşımıza çıkıyor” dedi ve ekledi:
“Truva atları diğer yazılımlar gibi tek başlarına herhangi bir tahribatta bulunmazlar ve kendi başlarına çalışamazlar. Mutlaka kullanıcı tarafından çalıştırılmaları gerekir. Özellikle sosyal mühendislik yoluyla dağılan birçok program, Truva atlarının çalıştırılmasıyla sonuçlanır. Aynı hikâyede olduğu gibi, Yunanılar nasıl hedefe saldırmak ve Truva şehrinin savunmasını düşürmek için tahta bir atın içerisine saklandılarsa, bu zararlı yazılım da güncel ve talep gören uygulamaların içerisine saklanır.”
ARALARINDA TÜRK BANKALARIN DA OLDUĞU DÜNYADAKİ 20 BANKAYI TAKLİT ETTİLER
ESET Türkiye Ürün ve Pazarlama Müdürü Can Erginkurban ise bu yöntemle daha önce aralarında Türkiye’den bankaların da olduğu dünyadaki 20 bankayı taklit ederek saldırı gerçekleştiğinin altını çizdi ve şu bilgileri paylaştı:
“Truva atları Windows işletim sistemleri için oldukça eski ve yaygındır. Android işletim sistemlerinin artması, saldırganların buraya yönelmelerini sağladı. Bu platformda Truva atlarının ilk kullanımları ‘Finans Uygulamaları’ üzerinden olmuştur. Örneğin, altı yıl kadar önce tespit edilmiş bir banka Truva atı, aralarında Türkiye’den de bankaların olduğu, dünyada 20 büyük bankanın uygulamalarını taklit edip kullanıcı cihazlarında şifre çalma, hassas verileri elde etme ve uzaktan kontrol gibi bir takım zararlı işlemleri yapabilmişti.”
Tarihte ilk fidye saldırısı 1989’da ‘AIDS Truva Atı’ saldırısıydı. AIDS konulu disketlere gizlenen Truva atı, çalıştırıldığında bilgisayarların standart çalışmalarını sağlayan komutları değiştirerek fidye karşılığı açmayı talep ediyordu. Truva atının gizlendiği disketleri hazırlayan Dr. Joseph Popp belki de ilk sosyal mühendislik yollarını kullanıp, AIDS konferansı delegelerine bu disketleri posta ile gönderip çalıştırmayı sağlamıştı.
‘ÇOK FAZLA ANDROİD KULLANICISININ CANI YANABİLİR’
Peki bu tehlike yeniden nasıl gündeme geldi?
“Android kullanıcılarını hedef alan ‘Joker Truva atı’ ile yeniden gündeme geldi” diyen Osman Demircan, “Asıl dikkati çeken, Play Store üzerinde farklı uygulamalardan yayılıyor olması. Bu sefer Truva atının hedefi cihazı şifrelemek değil; mesajlar, rehber ve cihaz bilgileri gibi bilgileri ele geçirmek” olduğunu ifade etti ve şu bilgileri paylaştı:
-- Üç uygulama üzerinde tespit edilen bu Truva atı, tespit edildikten sonra Google Play üzerinden kaldırıldı. Maalesef bu uygulamaların Google Play dışındaki dağıtımlarında da varlığını hâlâ sürdürüyor ve Android kullanıcıları için tehdit devam ediyor.
Joker Truva atının uygulama bazında kişisel verileri kopyalama özelliği başta bankacılık uygulamaları olmak üzere ciddi riskler barındırıyor. Banka uygulamasından gelen doğrulama SMS mesajlarına ulaşabildiği düşünülürse çok fazla Android kullanıcısının bu konuda canı ciddi anlamda yanabilir. Truva atları yapısal olarak kodların içerisine saklanan zararlı kodlardan oluşan zararlılar olduğu için tespitleri gün geçtikçe mağazalar tarafından daha da zorlaşıyor.
60 BİN CİHAZI ETKİLEDİ!
Can Erginkurban ise geçen yıl sadece İspanya'da 60 bin kadar cihazın trojanlardan etkilendiğini vurguladı ve önemli detaylar paylaştı:
Truva atları şu anda en sık rastlanan zararlı yazılım kategorisi. Arka kapılar açmak, etkilenen cihazın kontrolünü ele geçirmek, kullanıcı verilerini süzmek ve saldırgana göndermek, etkilenen sisteme diğer zararlı yazılımları indirmek ve çalıştırmak ve diğer birçok kötü amaç için kullanılırlar.
Özellikle geçen yıl İspanya’daki kullanıcıları hedef alan ve SMS ile yayılan bir Truva atı 60 bin kadar cihazı etkiledi. Kullanıcılara kargo şirketinden SMS geldiğine inandırdılar. Kullanıcılar da zararlı uygulamayı indirdiler. Ayrıca bazen işletim sistemindeki bir güvenlik açığı bazen de uygulamaların güvenlik açıkları bunlara sebebiyet verebiliyor.
2000’li yılların ortalarında ise fidye amaçlı kullanılan ‘GPCoder Truva Atı’ gündem olmuştu. Windows sistemleri etkileyen bu Truva atı, dosyaları şifreleyerek orijinallerini sistemden siliyordu. Şifrenin açılması için de yine para talep edilmekteydi. Sonraki yıllarda da WinLock ve Reveton çok ses getiren Truva atları oldu.
KULLANICILARI DİREKT OLARAK NASIL BİR TEHLİKE BEKLİYOR?
“Truva atı eğer kişisel verilerle mesajlara erişmek ve aynı zamanda uygulamaları uzaktan kullandırmak için dizayn edildiyse bu verilerle bankacılık uygulamalarına, sosyal medya hesaplarına, bireysel ve kurumsal maillere erişebilmeleri kesinlikle imkânsız değil” diyen Osman Demircan, şu önemli bilgileri paylaştı:
Özellikle şifre gerektiren yüksek güvenlikte bankacılık ya da sosyal medya uygulamalarında doğrulama işlemleri genel olarak e-posta ve sms ile gelen kodlarla yapılıyor. Eğer bunlara erişimi olan bir zararlı bulaştıysa hem sosyal medya hesapları hem de bankacılık uygulamaları risk altına giriyor.
Hatta kredi kartının bağlandığı yemek ya da alışveriş uygulamaları yüklü ise kullanıcının haberi olmadan alışveriş yapılması da imkânsız değil. Yazışmalara erişilebiliyor olması da kurumsal ve bireysel anlamda özel bilgilerin, fotoğrafların da sızması anlamına geliyor. Kurumsal kullanıcıları tüm bu risklerin yanında sanayi hırsızlığı gibi bir durum da tehdit etmekte. Özellikle tüm şirket yazışmalarının, teklif ve projelerinin mail ile iletildiği düşünülürse…
APP STORE DAHA MI GÜVENLİ?
Google Play üzerinden tehlikenin büyüdüğünü düşünürsek akla ‘App Store daha mı güvenli?’ sorusu geliyor.
Can Erginkurban, “Bazı durumlarda uygulamaların zafiyetinden, bazı durumlarda da Andorid Market harici uygulamaların yüklenmesi bu sorunlara neden oluyor. Apple App Store’a uygulama eklemek daha katı kurallara tabi olduğundan bu sorunlarla sık karşılaşılmıyor” ifadelerini kullandı. Osman Demircan da IOS’un daha kontrollü bir kullanıcı deneyimi yaşattığını vurguladı ve önemli bilgiler paylaştı:
Android işletim sisteminde daha çok karşımıza çıkıyor olmasının en büyük nedeni Android işletim sisteminin yaygınlığı ve telefon dışında birçok farklı akıllı cihazda da kullanılıyor olması. Eski model ve işletim sistemi seviyesinde güncelleme almayan ve üzerinde çok fazla güvenlik açığı barındıran telefonların kullanıcılar tarafından tercih edilmesi ve bu cihazların çevirim içi olması da hedef olmasında büyük bir etken.
Ayrıca Android işletim sistemi yazılımsal kontrollerinin çok büyük bir kısmını kullanıcının özgürlüğüne bırakması ve IOS’un daha kontrollü bir yapıda kullanıcı deneyimi yaşatmasının da büyük katkısı bulunuyor. Mağazaya bir yazılım eklenmeden önce o yazılımın incelenmesi süreçleri de bu konuda önem teşkil etmekte…
2013 yılının Eylül ayında çıkan ‘CryptoLocker’ bilgisayarların yanında akıllı cihazlar ve telefonları da etkileyen fidye yazılımı olarak kendinden çok söz ettirdi ve milyonlarca kurumsal ve bireysel cihaz bu Truva atından etkilendi. O yıllardan günümüze kadar da CryptoLocker teknolojisinin farklı ve geliştirilmiş türevleri olarak karşımıza sürekli çıkıyor.