Çok sayıda siber suçlu grubunun faaliyetlerini gözlemleyen Kaspersky Lab araştırmacıları, virüslü bir web sitesindeki bir komut dosyasında, Android kullanıcılarını risk altında bırakan olağandışı bir faaliyet tespit etti. Komut dosyası genellikle, Windows kullanıcılarına saldırmak için Flash açıklarından yararlanma yazılımlarının indirilmesini sağlar. Ancak bir noktada, kurbanlarının kullandığı cihazın türünü kontrol edebilecek şekilde değişerek özellikle Android sürüm 4 ve daha eski sürümleri arar. Tehlikeyi fark eden Kaspersky Lab uzmanları daha derine inmeye karar verdiler.
Suçlular için bir Android cihaza virüs bulaştırmak Windows bilgisayarına virüs bulaştırmaktan çok daha zordur. Windows işletim sistemi ve yaygın olarak kullanılan çok sayıda uygulama, zararlı kodların kullanıcıyla herhangi bir etkileşim olmadan yürütülmesine olanak veren zayıf noktalar içerir. Bu durum, her uygulamanın Android cihazın sahibi tarafından onaylanmasını gerektiren Android İS için genel olarak geçerli değildir. Ancak işletim sistemindeki zayıf noktalar bu kısıtlama baypas edilerek kullanılabilir; Kaspersky Lab araştırmacıları araştırmalarında bunun gerçekten de yapılabildiğini gördü.
Komut dosyası, virüs bulaştırılan web sitesinin koduna gömülü, tarayıcıda yürütülecek olan bir özel talimatlar seti. İlk komut dosyası, eski Android İS sürümlerinde çalışan cihazları ararken keşfedildi. Ardından iki şüpheli komut yazılımı daha keşfedildi. Birincisi herhangi bir mobil telefon numarasına SMS gönderebiliyor, diğeri ise saldırılan cihazın SD kartında zararlı dosyalar oluşturabiliyordu. Zararlı dosya bir Trojan dosyasıydı ve SMS mesajlarını yakalama ve gönderme becerisine sahipti. Her iki zararlı yazılım dosyası da Android kullanıcısından bağımsız olarak işlem gerçekleştirme becerisine sahipti: tek yapmanız gereken virüs bulaştırılmış bir web sitesini ara sıra ziyaret etmek.
Bu, siber suçluların Android sürümleri 4.1.x ve daha eski sürümler, özellikle de CVE-2012-6636, CVE-2013-4710 ve CVE-2014-1939 sürümlerindeki çok sayıda zayıf noktadan yararlandığı için olanaklı hale getirildi. Her üç zayıf nokta Google tarafından 2012 ve 2014 yılları arasında yamalandı; ancak açıklardan faydalanma riski devam etti. Örneğin Android ekosisteminin özellikleri nedeniyle Android tabanlı cihazlar üreten çok sayıda satıcı, gerekli güvenlik güncellemelerini çok yavaş bir şekilde çıkarıyor. Bazıları, belirli bir cihaz modelinin teknik açıdan eskimesi nedeniyle hiç güncelleme çıkarmıyor.
Kaspersky Lab güvenlik uzmanı Victor Chebyshev şunları söyledi: “Araştırmalarımızda bulduğumuz zayıf noktalardan yararlanma tekniklerinin hiçbiri yeni değildi ancak daha önce iyi niyetli korsan araştırmacılar tarafından yayınlanmış olan kavram kanıtlarından ödünç alınmışlardı. Bu, Android cihaz satıcılarının, PoC’lerin yayınlanmasının kaçınılmaz olarak “silahlanmış” açıklardan yararlanma amaçlı yazılımlarla sonuçlanması gerçeğini açıklaması gerektiği anlamına gelir. Bu cihazların kullanıcıları, cihazları artık satılmıyor olsa bile ilgili güvenlik güncellemeleriyle korunmayı hak ediyorlar”.
Kendinizi drive-by saldırılarından koruyabilmeniz için Kaspersky Lab uzmanları aşağıdakileri tavsiye ediyor:
- Otomatik güncelleme işlevini etkinleştirerek Android tabanlı cihazlarınızın yazılımını güncel tutun;
- Özellikle kurumsal ağlarda kullanılan bir cihaz koleksiyonunu yönetiyorsanız, alternatif kaynaklardan Google Play’a uygulama yüklemeyi kısıtlayın;
- Kanıtlanmış bir güvenlik çözümü kullanın. Kaspersky Internet Security for Android ve Kaspersky Security for Mobile with Mobile Device Management cihazın SD kartındaki değişiklikleri gerçek zamanlı olarak algılayabilir ve kullanıcıları yukarıda anlatılan drive-by saldırılarına karşı koruyabilir.