Kaspersky, yetkisiz satıcılar aracılığıyla satıldığı iddia edilen sahte Android akıllı telefonlara önceden yüklenmiş, yeni ve gelişmiş bir "Triada Truva Atı" sürümü keşfetti. Şirketin açıklamasına göre, sistem yazılımına gömülü olan bu kötü amaçlı yazılım, fark edilmeden çalışarak saldırganlara enfekte cihazlar üzerinde tam kontrol sağlıyor. Dünya genelinde 2 bin 600'den fazla kullanıcı bu tehditten etkilendi.
Triada Truva Atı Nedir ve Nasıl Çalışır?
Tipik mobil kötü amaçlı yazılımlar genellikle kötü amaçlı uygulamalar aracılığıyla yayılırken, bu Triada varyantı sistem çerçevesine entegre edilerek çalışan her sürece sızıyor. Bu sayede geniş çapta kötü amaçlı faaliyetler gerçekleştirebiliyor. Kaspersky, bu faaliyetleri şöyle sıralıyor:
- Telegram, TikTok, Facebook ve Instagram dahil olmak üzere mesajlaşma ve sosyal medya hesaplarını çalmak
- WhatsApp ve Telegram gibi uygulamalarda mesaj gönderme ve silme
- Kripto para cüzdan adreslerini değiştirmek
- Arayan kimliklerini taklit ederek telefon aramalarını yeniden yönlendirmek
- Tarayıcı etkinliğini izleme ve bağlantılar enjekte etme
- SMS mesajlarını yakalama, gönderme ve silme
- Premium SMS ücretlerini etkinleştirme
- Ek yüklerin indirilmesi ve yürütülmesi
- Potansiyel olarak dolandırıcılık önleme sistemlerini atlamak için ağ bağlantılarını engelleme
Kaspersky çözümleri, bu varyantı "Backdoor.AndroidOS.Triada.z" olarak tanımlıyor. İlk olarak 2016'da keşfedilen Triada, sistem seviyesindeki ayrıcalıkları kullanarak dolandırıcılık yapmak, SMS doğrulamalarını ele geçirmek ve tespit edilmekten kaçınmak için sürekli olarak evrim geçirdi. Bu son kampanya, saldırganların sahte cihazlara donanım yazılımı seviyesinde kötü amaçlı yazılım yerleştirmek için muhtemelen tedarik zincirindeki güvenlik açıklarından yararlandığını gösteriyor.
Kripto Vurgunu ve Uzman Yorumu
Kaspersky Tehdit Araştırma Ekibinden Kötü Amaçlı Yazılım Analisti Dmitry Kalinin, Triada Truva Atı'nın Android ekosistemindeki en gelişmiş tehditlerden biri haline geldiğini belirtiyor. Kalinin, "Bu yeni sürümün, cihaza henüz kullanıcıya ulaşmadan, doğrudan üretim aşamasında sızarak donanım yazılımı seviyesinde çalıştığına değinen Kalinin, "Bu durum, tedarik zincirinde bir güvenlik açığı olduğunu gösteriyor. Açık kaynaklardan yapılan analizlere göre, saldırganlar çalınan kripto paralarla en az 270 bin doları kendi cüzdanlarına aktardı. Ancak Monero gibi izlenmesi zor kripto paraların kullanımı nedeniyle gerçek toplamın daha yüksek olması muhtemel." ifadelerini kullandı.
Bu durum, Android kullanıcıları için ciddi bir uyarı niteliği taşıyor. Güvenilir olmayan kaynaklardan alınan telefonlar, farkında olmadan kötü amaçlı yazılımlarla yüklü gelebilir ve kişisel verilerinizi tehlikeye atabilir. Uzmanlar, bilinmeyen kaynaklardan uygulama indirmemeyi ve güvenlik yazılımlarını güncel tutmayı öneriyor.
