Mayıs 30, 2017

Ztorg Trojanı: 5 cent için kendinize bulaştırın

Güvenlik Haberler

İnternetteki birçok reklam kolay yoldan para kazanmayı vadeder. Günde bir saatinizi ayırarak çok para kazanabileceğinizi söyler, hatta örnek olarak da “evli ve 3 çocuklu Sema Hanım her gün şu kadar zamanını ayırarak ayda bilmem kaç bin dolar para kazandı, siz de yapabilirsiniz” derler. Tabi daha mantıklı yöntemlerle de güzel paralar kazanabilirsiniz.

Mesela bazı servisler size uygulama yükledikçe para teklif eder. Uygulama başına vadettikleri para değişir ancak ortalama 5 cent olur. İş çok basittir. Özellikle küçük çocuklar bu yönteme çok sık kanarlar. “Şu 50 uygulamayı yükle ve 2.50$ para kazan. Böylece oynadığın bilgisayar oyunu karakterine bir şeyler alabilirsin.”

Google Play’de bunun gibi birçok uygulama bulabilirsiniz. Telefonuna indir, yükle, yükledikçe kazanacağın uygulamaları gör – indir, birkaç dakika kullan ve para kazan!

Çok makul hatta mantıklı geliyor değil mi? Kesinlikle. Birçok uygulama geliştiricisi, uygulamasının indirme sayısı artsın diye bu tarz programlara para ödeyebiliyor. Kullanıcılar kendi istekleri doğrultusunda indirmemiş olsa bile, uygulama üreticilerinin istedikleri oluyor ve indirme sayısı artıyor. Buraya kadar her şey makul değil mi? Ortada bir sıkıntı var gibi durmuyor. Yoksa var mı?

Ücretsiz zararlı yazılım

Elbette var – zaten olmasaydı bu yazıyı yazmazdık. Görünen o ki, diğer şeylerin yanında bu tarz uygulamalar size zararlı Ztorg Trojanını yüklüyor olabilir. Bu Trojanı Google Play’de Pokémon Go klavuzu gibi görünerek 500,000 defa indirilmesinden hatırlayabilirsiniz.

Pokémon Go, Ztorg Trojanını içeren tek program değil. Ztorg’u keşfeden Kaspersky Lab uzmanı Roman Unuchek, bu para kazanma uygulamaları ile Ztorg’un birkaç ay boyunca farklı cihazlara bulaştığını, bu trojanın her ay şekil değiştirip farklı programlar gibi gözükerek dağılmaya devam ettiğini tespit etti.

Ztorg ne yapıyor

Tüm bu uygulamaların iki ortak özelliği var. Bir, indirilme sayıları hızla artıyor (Günlük yüzbinlerce defa). İki, bu uygulamaların uygulama yorumlarına bakarsanız birçok “para, kredi, bonus veya benzer bir şey için” indirdiğini söyleyen yorumlar göreceksiniz.

Ztorg Trojanı değişmedi. Cihaza yüklendikten sonra sistem hakkındaki bilgileri toplayıp yönetim sunucusuna (C&C) gönderiyor. Daha sonra sunucu cihazın kök dizinine erişmesi için gerekli olan zararlı yazılımı cihaza gönderiyor. Bundan sonrası basit, bu işin arkasındaki kişiler size istediklerini yapabiliyorlar: reklam gösteriyorlar, cihaza başka zararlı yazılımları yüklüyorlar vs.

Ztorg aynı zamanda reklamlarla da yayılıyor. Reklama tıklayıp uygulamayı indiriyorsun, kendi kendine trojanı bulaştırıyorsun. Son derece basit!

İlginç olan şey ise Ztorg, kurbanlarına reklamı kullanıcılara bulaştığı şekilde gösteriyor olması. Bu zararlı reklamları gösterdiği reklam ağları ile aslında resmi reklam kanalları: birçok markanın ve ürünün reklamını gösterdiği normal yerler. Sorun ise, reklam alanlarından sorumlu kişilerin reklam içeriğinde zararlı yazılım olduğunu bilmemesi.

Hakkını vermek gerek, Ztorg’ın geliştiricileri bu uygulamanın zararlı özelliklerini iyi saklayabilmişler ve uygulama çalışırken de kolay kolay fark edilemiyor. Ztorg içerisinde bulunduğu durumu değerlendirerek karar veriyor, örneğin sandbox’ta (test ortamında) çalışmıyor.

Zararlı yazılımları indiren reklamlar genelde kullanıcıları direkt olarak zararlı yazılım indirme sayfasına göndermez. Önce bir sayfaya yönlendirir, oradan başka bir sayfaya yönlendirir, oradan başka bir sayfaya ve oradan da başka bir sayfaya. Unuchek indirim başlamadan önce 27 farklı yönlendirilme keşfetti. Dahası, uygulama kontol sunucusundan gelen zararlı yazılımı indirmeyi 90 dakikaya kadar erteleyebiliyor – bu sırada uygulamayı test edenler uygulamanın güvenli olduğuna karar verirler zaten.

Zaten bu zararlı yazılımı gizleme yöntemi sayesinde Ztorg bir buçuk yıldır Google Play’de bulunan uygulamalar ile kullanıcılara dağılabiliyor. Diğer Trojanlar da bu şekilde pusuda bekliyorlar – bu konudan daha önce (birkaç defa) bahsettik. Dolayısıyla Google Play’de gördüğünüz uygulamalara körü körüne güvenmemelisiniz.

Alınacak ders

Böyle saldırıların kurbanı olmamak için ne yapmanız gerekiyor? İki önerimiz var.

  • Sadece güvenilir uygulama geliştiricilerin uygulamalarını indirin, hatta daha iyisi sadece resmi internet sitesinden uygulama indirin. Yine trojan bulaşma ihtimali olacaktır ancak resmi sitelerden bulaşma ihtimali çok çok daha düşüktür.
  • Güvenilir bir koruma yükleyin. Örneğin Kaspersky Internet for Android, Ztorg Trojanının her formunu keşfedebilip cihazınızdan temizleyebiliyor. Eğer ücretsiz versiyon kullanıyorsanız, sık sık el ile tarama gerçekleştirmek zorunda olduğunuzu unutmayın; otomatik tarama sadece lisanslı ürünlerin özelliğidir.