"xHelper Trojanı, Matruşkaya Benziyor"

Kaspersky araştırmacıları, matruşkaya benzettikleri Android telefonlara bulaşan xHelper trojanı hakkında bir rapor yayınladı.

Ali
Pa, 12/04/2020 - 18:02
Güvenlik
"xHelper Trojanı, Matruşkaya Benziyor"

Siber güvenlik şirketi Kaspersky, geçtiğimiz yıl ortaya çıkan, Android telefonlara bulaşan xHelper trojanı hakkında bir rapor yayınladı.

xHelper, ilk olarak geçtiğimiz yılın Mart ayında tespit edilmiş, Ağustos ayında Malwarebytes tarafından 33.000 cihaza, Ekim ayında Symantec tarafından 45.000'den fazla cihaza bulaştığı söylenmişti.

Söz konusu şirketler o zaman trojanın, Google Play Store'dan bulaşmadığını, trojanın Android uygulamaları barındıran internet sitelerinden bulaştığını söylemişti. Bu trojan hakkında en kritik detay, cihaz fabrika ayarlarına geri döndürülse dahi trojanın cihazdan kaldırılamamasıydı.

Şimdi ise bu trojan hakkında son araştırmayı Kaspersky yaptı. Araştırmacılar, xHelper trojanının akıllı telefonlar için bir "telefon temizleyici ve hızlandırıcı" uygulaması olarak gizlendiğini, kullanıcılar uygulamayı indirdiğinde, uygulamanın ana ekrandan kaybolduğunu ve kişinin ancak telefonun ayarlarındaki "yüklü uygulamalar/uygulamalar" kısmında uygulamayı görebildiğini söyledi.

"Trojan-Dropper.AndroidOS.Helper.h" olarak incelenen trojan ilk olarak cihaz hakkında bilgi (model, ürün yazılımı sürümü) toplamak ve "Trojan-Dropper.AndroidOS.Agent.of" adındaki modülü indirme görevlerini yerine getiriyor.

Bu modül, "Trojan-Dropper.AndroidOS.Helper.b'yi" başlatıyor ve bu modül ise "Trojan-Downloader.AndroidOS.Leech.p" adlı zararlı yazılımı başlatıyor. Ve daha sonra "Leech.p" ise "HEUR:Trojan.AndroidOS.Triada.dd'yi", cihazda "root" ayrıcalıkları elde etmek için indiriyor.

Kaspersky, "Kötü amaçlı dosyalar, uygulamanın diğer programların erişemediği veri klasöründe sırayla depolanır. Bu matruşka tarzı düzen, kötü amaçlı yazılım yazarlarının izlerini gizlemesini ve güvenlik çözümleri tarafından bilinen kötü amaçlı modülleri kullanmasını sağlar. Kötü amaçlı yazılım, esas olarak Çinli üreticilerin (ODM'ler dahil) Android 6 ve 7'yi çalıştıran cihazlarında root erişimi elde edebilir. Ayrıcalıklar edindikten sonra xHelper, kötü amaçlı dosyaları doğrudan sistem bölümüne yükleyebilir" dedi ve ekledi:

"xHelper tarafından saldırıya uğrayan akıllı telefonların firmwarelerinin, bazen programları bağımsız olarak indirip yükleyen (xHelper dahil) önceden yüklenmiş kötü amaçlı yazılım içerdiğini unutmayın. Bu durumda, fabrika ayarlarına dönmek anlamsızdır, bu nedenle cihazınız için alternatif bir firmware düşünmeye değer. Farklı bir firmware kullanıyorsanız, cihaz bileşenlerinin bazılarının düzgün çalışmayabileceğini unutmayın."

Kaspersky, xHelper bulaşmış bir telefon kullanmanın son derece tehlikeli olduğunu çünkü trojanın backdoor yükleme kabiliyetinin olduğunu ve ayrıca cihazdaki bütün uygulamaların verilerine tam erişim sağlayabildiğini belirtti.

Subscribe to newsletter

Yorumlar

Yorum mevcut değil.