Çinli üretici Transsion’un binlerce düşük maliyetli akıllı telefonunda, kullanıcıların izinleri olmadan abonelik hizmetlerine kaydeden önceden yüklenmiş kötü amaçlı yazılımlar keşfedildi.
Keşif, Upstream’in dolandırıcılıkla mücadele platformu Secure-D tarafından yapıldı ve araştırmacılar, platformun tespit ettiği şüpheli işlemlerin kökenine ilişkin kapsamlı bir araştırma yaptı.
Geçen yılın mart ayından itibaren firma Etiyopya, Kamerun, Mısır, Gana ve Güney Afrika’ya ek olarak 14 farklı ülkede Transsion Tecno W3 telefonlarından kaynaklanan alışılmadık derecede çok sayıda işlemi keşfetti ve engelledi.
Bugüne kadar, kullanıcıların izinleri olmadan abonelik hizmetlerine gizlice kaydolmasına neden olacak toplam 200 binden fazla cihazda, 19,2 milyon şüpheli işlem kaydedildi. Engellenen bu işlemlerin çoğu, kaynağı bilinmeyen ve herhangi bir Android uygulama mağazasından indirelemeyen ‘‘com.mufc’’ adlı bir uygulama ailesi tarafından gerçekleştirildi.
Upstream’de Secure-D Başkanı Geoffrey Cleaves, mobil reklam dolandırıcılığının mevcut durumu hakkında daha fazla bilgi verdi ve şunları söyledi:
‘‘Mobil reklam dolandırıcılığı hızla bir salgın haline geliyor ve kontrol edilmediği takdirde mobil reklamcılığı daraltacak, operatörlerle olan güveni zedeleyecek ve kullanıcıları daha yüksek faturalarla yönledirecek. Bu tehdit, en savunmasız olanlardan yararlanır. Kötü amaçlı yazılımın, genellikle düşük gelirli haneler tarafından milyonlarca satın alınan telefonlara önceden yüklenmiş olarak gelmesi, endüstrinin şu anda neyle karşı karşıya olduğumu hakkında bilmeniz gereken her şeyi size anlatıyor.’’
Önceden yüklenmiş kötü amaçlı yazılım
Secure-D, gözlemlediği yüksek sayıdaki şüpheli işlemi araştırmak için hem yeni Tecno W2 cep telefonlarını hem de gerçek kullanıcılardan cihazları satın aldı. Firmanın analizi, cihaz modelleri ve ürün yazılımı sürümlerinin bir kombinasyonu gerçekleştirildi ve test edilen akıllı telefonlar, çeşitli farklı ağ türlerine bağlandı.
Secure-D’nin araştırması, Transsion’un Tecno W2 cihazlarının önceden yüklenmiş Triada ile bağlantılı kötü amaçlı yazılım ile geldiğini doğruladı. Triada, yazılım arka kapısı ve kötü amaçlı yazılım indiricisi olarak işlev gören popüler bir kötü amaçlı yazılımdır. Kötü amaçlı yazılım, algılanmayı daha da önlemek için kalıcı sistem bileşenleri içindeki varlığını gizlemeden önce bir uzaktan komuttan ve kontrol sunucusundan talimatlar aldıktan sonra keyfi kod yürütmek için üst düzey cihaz ayrıcalıklarını kullanır.
Secure-D, edindiği Tecno W2 cihazlarını internete bağladıktan sonra, Triada kötü amaçlı yazılımı xHelper adlı bir trojan (truva atı virüsü) indirdi. Trojan, yeniden başlatma, uygulama kaldırma ve hatta fabrika ayarlarına sıfırlama işlemlerinde kullanılıyor. Bu, deneyimli profesyoneller bile kaldırılmasını son derece zor hale getirir.
Secure-D ayrıca, xHelper bileşenlerinin belirli bir telefon ağı gibi doğru ortama maruz kaldıklarında, yeni abonelik hedefleri bulmak için sorgular yaptığını da buldu.
Google’ın güvenlik ekibinden gelen bir blog yazısında, Triada’nın varlığını etkilenen cihazların tedarik zincirindeki kötü niyetli bir tedarikçinin eylemlerine bağlandığını belirtti.
Editör : SavunmaTR Haber Merkezi
