Kaspersky Lab‘ın Mobil Virüsoloji konusunda yaptığı son araştırmaya göre, 2015 yılında ortaya çıkan ilk 20 Truva atının yaklaşık yarısı, süper kullanıcı erişim hakları elde etme yeteneği olan kötü amaçlı programlardı. Süper kullanıcı ayrıcalıkları, siber suçlulara kullanıcıların telefonlarına onların bilgisi olmadan uygulama yükleme fırsatı tanıyan bir ayrıcalıktı.
Bu tür kötü amaçlı yazılımlar, kullanıcıların güvenilmeyen kaynaklardan yükledikleri/indirdikleri uygulamalar aracılığıyla yayılıyor. Bu uygulamalar kimi zaman kendilerini oyun ya da eğlence uygulaması olarak gizleyerek, resmi Google Play uygulama mağazasında da bulunabiliyor. Aynı zamanda mevcut popüler uygulamaların bir güncelleştirmesi sırasında da yüklenebiliyor ve bazen de mobil cihaza önceden yüklenmiş olabiliyorlar. En büyük risk altında olanlar, 4.4.4 ve öndeki Android İS sürümleri ile çalışan cihazlar. Kök yetkileri kullanan; bilinen 11 adet mobil Truva atı ailesi var. Bunlardan üçü – Ztorg, Gorpo ve Leech – birbirleri ile işbirliği içinde hareket ediyor. Bu Truva atları ile aktif olan cihazlar genellikle, tehdit aktörlerinin farklı türde reklam yazılımları yüklemek için kullanabilecekleri bir çeşit reklam botneti oluşturmak üzere bir ağ içinde organize oluyorlar.
Cihazın kök yazılımına girildikten kısa bir süre sonra, yukarıda belirtilen Truva atları tarafından bir arka kapı indiriliyor ve yükleniyor. Bu arka kapı, daha sonra uygulamaları indirme, yükleme ve başlatma yeteneği olan iki adet modülü indirerek aktif hale getiriyor. Uygulama yükleyici ve kurulum modülleri farklı Truva atı türleri olduğuna işaret etmekte, ancak bunların hepsi antivirüs veritabanlarımıza ortak bir isim altında eklenmiş durumda: Triada. Bu kötü amaçlı yazılım ayırt edici bir özelliği, bir Android cihazı üzerindeki uygulama prosesinin ana öğesi olan ve cihazda yüklü her uygulama tarafından kullanılan sistem kitaplıklarını ve çerçevelerini içeren Zygote‘u kullanması. Diğer bir deyişle bu, amacı Android uygulamalarını başlatmak olan bir hayalet program. Bu, her yeni yüklenen uygulama için çalışan standart bir uygulama prosesi. Bu, Truva atının sisteme girer girmez, uygulama prosesinin bir parçası haline geldiği ve cihaz üzerinde başlatılan herhangi bir uygulamanın içine önceden yüklenmiş olacağı ve hatta uygulama işleyişinin mantığını değiştirebileceği anlamına geliyor. Ve böylesi bir teknolojiye ilk defa rastlanıyor.
Bu kötü amaçlı yazılımın gizli yetenekleri oldukça gelişmiş. Kullanıcının cihazına girdikten sonra Triada neredeyse her işleyiş prosesine uygulanır ve kısa süreli bellekte varlığını sürdürüyor. Bu da yazılımı, zararlı yazılım önleme çözümlerini kullanarak tespit etmeyi ve silmeyi neredeyse imkansız hale getiriyor. Triada sessizce çalışıyor, yani tüm zararlı faaliyetlerini kullanıcıdan ve diğer uygulamalardan gizli tutuyor. Triada Truva atının işlevselliğinin karmaşıklığı, bu kötü amaçlı yazılımın arkasında, hedefli mobil platform konusunda derin bir anlayışa sahip oldukça profesyonel siber suçlular olduğu gerçeğini kanıtlıyor. Triada Truva atı, diğer uygulamalar tarafından gönderilen giden SMS mesajlarını değiştirebiliyor. Bu artık bu kötü amaçlı yazılımın önemli bir işlevi haline geldi. Bir kullanıcı Android oyunları için SMS yoluyla uygulama içi alışveriş yaparken, dolandırıcıların giden SMS’i değiştirerek oyun geliştiricileri yerine parayı kendilerinin alması ihtimali var.
Kaspersky Lab Malware Analisti Nikita Buchka şunları söylüyor: “Ztrog, Gorpo ve Leech üçlüsü, Android tabanlı tehditlerin evriminde yeni bir aşamaya işaret ediyor. Bunlar, ayrıcalıklarını birçok cihazda tırmandırma potansiyeline sahip geniş çapta yayılmış ilk yaygın kötü amaçlı yazılımlardır. Truva atları tarafından saldırıya uğrayan kullanıcıların çoğunluğu Rusya, Hindistan ve Ukrayna’nın yanı sıra Asya Pasifik ülkelerinde bulunmaktadır. Bir cihazın kök yazılımına erişim sağlayan zararlı bir uygulama tehdidini hafife almak zordur. Triada örneğinde görüldüğü gibi bunların asıl tehdidi, çok daha gelişmiş ve tehlikeli olan zararlı uygulamaların cihaza erişimini sağlamalarında saklıdır. Bunlar aynı zamanda hedefli mobil platform konusunda derin bilgiye sahip siber suçlular tarafından geliştirilen iyi düşünülmüş bir mimariye sahiptirler.”
Bu kötü amaçlı yazılımı bir cihazdan kaldırmak neredeyse imkansız olduğundan, kullanıcıların bundan kurtulmak için iki seçeneği var. Birinci seçenek, cihazın işletim sistemine “root” erişimi sağlayarak kötü niyetli uygulamaları elle silmek. İkinci seçenek ise cihazdaki Android sistemine jailbreak uygulamak.
Kaspersky Lab ürünlerinin tespit ettiği Triada Truva atı bileşenleri şunlar: Trojan-Downloader.AndroidOS.Triada.a; Trojan-SMS.AndroidOS.Triada.a; Trojan-Banker.AndroidOS.Triada.a; Backdoor.AndroidOS.Triada.
