Ana Sayfa / Güvenlik / Roaming Mantis, Wi-Fi yönlendiriciler aracılığıyla akıllı telefonlara bulaşıyor
guvenlik superonline eu
guvenlik superonline eu

Roaming Mantis, Wi-Fi yönlendiriciler aracılığıyla akıllı telefonlara bulaşıyor

Bir süre ilkin uzmanlarımız Roaming Mantis adını verdikleri fena amaçlı bir yazılım hakkında bir araştırma yapmış oldu. O zamanlarda, bu fena amaçlı yazılımın mağdurları daha oldukça Japonya, Kore, Çin, Hindistan ve Bangladeş’teki kullanıcılar olduğundan bunu öteki bölgeler bağlamında tartışmamıştık; o zamanlar mahalli bir tehdit şeklinde görünüyordu.

Fakat rapor yayınlandıktan sonraki bir ay içinde, Roaming Mantis tam yirmi dört dil daha öğrendi ve tüm dünyada hızla yayılmaya devam ediyor.

Bu fena amaçlı yazılım, korumasız yönlendiricileri kullanarak Android tabanlı akıllı telefonları ve tabletleri ele geçiriyor. Sonrasında da iOS işletim sistemine haiz cihazları bir kimlik avı sitesine yönlendirerek masaüstü ve dizüstü bilgisayarlarda CoinHive kripto madencilik betiğini devreye sokuyor. Bunu DNS hırsızlığı yöntemiyle yapmış olduğu için de hedefteki kullananların bir şeylerin ters gittiğini anlaması kolay olmuyor.

DNS hırsızlığı nedir?

Tarayıcınızın adres çubuğuna bir site adı yazdığınızda tarayıcı aslına bakarsak o siteye bir talep göndermez. Daha doğrusu gönderemez; şu sebeple İnternet’te işler sayı kümelerinden oluşan IP adresleri üstünden yürütülür, sözcüklerden oluşan alan adları ise insanların daha kolay hatırlaması ve yazması içindir.

Siz bir URL yazdığınızda tarayıcınız bir DNS sunucusuna (DNS Tesir Alanı Adı Sistemidir) bir talep gönderir, sunucu da insanoğlu için ergonomik olan bu adı ilgili web sitesinin IP adresine dönüştürür. Tarayıcı, o siteyi bulurken ve açarken işte bu IP adresini kullanır.

DNS hırsızlığı, tarayıcıyı kandırarak tesir alan adını doğru IP adresine dönüştürmediği halde bu şekilde bulunduğunu düşünmesini sağlamanın bir yoludur. IP adresi yanlış olmasına karşın, tarayıcının adres çubuğunda kullanıcı tarafınca girilen doğru URL yazdığı için ortada şüpheli bir durum olmaz.

DNS hırsızlığının birçok yöntemi var fakat Roaming Mantis’in yaratıcıları bunlar arasındaki kim bilir en kolay ve en etkili yöntemi seçmiş: korunmasız yönlendiricilerin ayarlarını ele geçirerek onları kendi düzmece DNS sunucularını kullanmaya zorluyorlar. Bu durumda bu yönlendiriciye bağlı bir aygıtta tarayıcı adres çubuğuna ne yazılmış olursa olsun, kullanıcı fena amaçlı bir siteye yönlendiriliyor.

Android Üstündeki Roaming Mantis

Fena amaçlı bir siteye yönlendirildikten sonrasında kullanıcıdan tarayıcısını güncellemesi isteniyor. Bu sayede chrome.apk isminde olan fena amaçlı bir uygulama indirilmiş oluyor (bunun feysbuk.apk isminde olan öteki bir versiyonu da vardı).

Fena amaçlı yazılım, kurulum süreci esnasında hesap bilgilerine erişme, SMS mesajları gönderme ve alma, sesli aramaları işleme, ses kaydetme, dosyalara erişme, kendi penceresini diğerlerinin üstünde gösterme şeklinde haklar da dahil bazı izinler istiyor. Google Chrome şeklinde güvenilir bir uygulama için bu sıralama pek kuşku çekmez — kullanıcı bu “tarayıcı güncellemesini” meşru bulursa, listeyi okumaya zahmet bile etmeden izinleri rahatça verir.

Uygulama kurulduktan sonrasında, fena amaçlı yazılım hesap listesine erişme hakkını kullanarak o aygıtta hangi Google hesabının kullanıldığını bulur. Sonrasında, kullanıcıya hesabıyla ilgili bir mesele bulunduğunu söyleyerek hesaba yeniden giriş yapmasını isteyen bir ileti gösterilir (bu ileti öteki tüm açık pencerelerin üstünde görünür ve fena amaçlı yazılımın istediği bir öteki izindir). Sonrasında da bir sayfa açılarak kullanıcıdan adını ve doğum tarihini girmesi istenir.

Roaming Mantis’in yaratıcıları bu verilerle beraber iki öğeli kimlik doğrulama için ihtiyaç duyulan tek seferlik şifrelere erişimi sağlayacak SMS izinlerini de kullanarak Google hesaplarını çalar.

Roaming Mantis: Dünya turu, iOS’a geçiş, ve madencilik

Başlangıçta, Roaming Mantis dört dilde ileti görüntüleyebiliyordu: İngilizce, Korece, Çince ve Japonca. Bu fena amaçlı yazılımın yaratıcıları yolun bir noktasında, yazılımın bilmiş olduğu dilleri çoğaltarak yirmi dört dil daha eklemeye karar verdi:

  • Arapça
  • Ermenice
  • Bulgarca
  • Bengalce
  • Çekçe
  • Gürcüce
  • Almanca
  • İbranice
  • Hintçe
  • Endonezya dili
  • İtalyanca
  • Malay dili
  • Lehçe
  • Portekizce
  • Rusça
  • Sırp-Hırvat dili
  • İspanyolca
  • Filipin dili
  • Tay dili
  • Türkçe
  • Ukraynaca
  • Vietnam dili

Yaratıcıları bir taraftan bunlarla uğraşırken öteki taraftan da Roaming Mantis’in kabiliyetlerini geliştirerek ona iOS ile çalışan cihazlara saldırmayı öğretti. Bunun için Android saldırılarından daha değişik bir senaryo kullanılıyordu. Roaming Mantis, iOS’ta uygulamayı indirme aşamasını atlar; bunun yerine, fena amaçlı sitede bir kimlik avı sayfası görüntülenerek kullanıcıdan derhal App Store’a yeniden giriş yapması istenir. İnandırıcılığı arttırmak için adres çubuğunda itimat veren security.apple.com URL’s çıkar:

Siber suçlular hırsızlıklarını Apple ID kimlik bilgileriyle sınırlamaz; bu bilgiler verildikten derhal sonrasında kullanıcıdan banka kartının numarası istenir:

Uzmanlarımızın ortaya çıkardığı üçüncü yenilik ise masaüstü ve dizüstü bilgisayarlar ile ilgilidir. Roaming Mantis bu aygıtlarda CoinHive madencilik betiğini işletir ve böylece kripto paralar madenden çıkarılarak direkt fena amaçlı yazılımı yapanların ceplerine indirilir. Kurbanın bilgisayar işlemcisi maksimum seviyede dolduğundan sistem yavaşlayarak oldukça fazla enerji tüketmeye zorlanır.

Roaming Mantis hakkında daha detaylı bilgiyi orijinal raporda bulabilirsiniz ve ek olarak fena amaçlı yazılım hakkında güncel informasyon içeren yeni bir Securelist yazısı da bulunmaktadır.

Roaming Mantis’ten iyi mi korunabilirsiniz?

  • Yalnız bilgisayarlar ve dizüstü bilgisayarlar değil, akıllı telefonlar ve tabletler dahil tüm cihazlarda antivirüs koruması kullanın.
  • Cihazlarınızda yüklü olan tüm yazılımları tertipli olarak güncelleyin.
  • Android cihazlarda, bilinmeyen kaynaklardan uygulama yükleme hususi durumunu dönem dışı bırakın. Bu seçenek Ayarlar -> Güvenlik -> Bilinmeyen kaynaklarsekmesindedir.

  • Yönlendiricinizin yazılımını mümkün olmasıyla birlikte sık güncelleyin (bunun iyi mi yapılacağı yönlendiricinin kılavuzunda yazar). Şüpheli sitelerden indirilen resmi olmayan yazılımları kullanmayın.
  • Yönlendiricideki varsayılan yönetici parolasını kesinlikle değiştirin.

Cihazınıza Roaming Mantis bulaşırsa ne yapmalısınız?

Kaspersky güvenlik ürünleri Roaming Mantis’i tespit edip silebilir, bundan dolayı ilk iş olarak tüm cihazlarınıza virüsten koruma programı yükleyip bir sistem taraması yapın. Roaming Mantis’i bilgisayar ve cihazlarınızdan temizledikten sonrasında yeniden bulaşmasını önlemek için ortalığı birazcık toparlamanız gerekecek:

  • Fena amaçlı yazılımdan ziyan olan tüm hesapların parolalarını değiştirin. Roaming Mantis kimlik avı sitesine bilgilerini verdiğiniz tüm banka kartlarını iptal edin.
  • Yönlendirici yönetici parolasını değiştirin ve yazılımı güncelleyin. Bunu yapmak için, yönlendirici üreticisinin resmi web sitesi haricinde hiçbir yerden yazılım indirmeyin.
  • Yönlendiricinin ayarlarına girin ve DNS sunucu adresini deneyin. Bu adres, servis sağlayıcının verdiği adresle aynı değilse ISP’nizin websitesinde bulabileceğiniz (güvenli bir sistemden deneyin!) yada onları arayarak öğrenebileceğiniz doğru adresle değiştirin.

OKUDUYSANIZ yada IZLEDIYSENIZ PAYLAŞIN LÜTFEN HERKES OKUSUN ve IZLESIN.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

CLOSE
CLOSE
Copied!