Kaspersky yeni bir zararlı yazılım saptadı
-
Kaspersky, "Keenadu" olarak adlandırdığı Android cihazları hedef alan yeni bir zararlı yazılım tespit etti.
Şirketten yapılan açıklamaya göre, çok katmanlı bir dağıtım stratejisine sahip olan yazılım, doğrudan cihazların aygıt yazılımına (firmware) entegre edilebiliyor, sistem uygulamalarının içine gömülebiliyor ve hatta Google Play gibi resmi uygulama mağazaları üzerinden yayılabiliyor.
Mevcut bulgulara göre Keenadu, halihazırda enfekte ettiği cihazları birer "bot" gibi kullanarak reklam tıklama trafiği oluşturmak (reklam dolandırıcılığı) amacıyla kullanılıyor. Ancak yazılımın bazı varyantları, saldırganlara kurbanın cihazı üzerinde tam kontrol yetkisi tanıyacak kadar ileri seviye kötü amaçlı özellikler barındırıyor.
Şubat ayı itibarıyla Kaspersky mobil güvenlik çözümleri, Keenadu bulaşmış 13 binden fazla cihaz tespit etti. En fazla etkilenen ülkeler arasında Rusya, Japonya, Almanya, Brezilya, Hollanda ve Türkiye yer alıyor.
Kaspersky'nin 2025'te tespit ettiği Triada arka kapısına (backdoor) benzer şekilde, Keenadu'nun bazı sürümlerinin tedarik zinciri aşamasında çeşitli Android tablet modellerinin aygıt yazılımına sızdırıldığı anlaşıldı. Bu varyantta Keenadu, saldırganlara cihaz üzerinde sınırsız kontrol imkanı sunan tam işlevli bir arka kapı olarak faaliyet gösteriyor.
Bankacılık bilgileri tehlikeye giriyor
Cihazda yüklü olan her uygulamaya bulaşabilen yazılım, APK dosyaları üzerinden istenilen uygulamayı yükleyebiliyor ve bunlara tüm sistem izinlerini tanımlayabiliyor. Sonuç olarak, medya dosyaları, mesajlar, bankacılık bilgileri ve konum verileri dahil olmak üzere cihazdaki tüm hassas bilgiler tehlikeye giriyor.
Aygıt yazılımına entegre edilen bu zararlı, belirli koşullara göre farklı davranışlar sergiliyor. Cihaz dili Çince lehçelerinden birine ayarlıysa veya saat dilimi Çin olarak seçilmişse yazılım aktifleşmiyor.
Keenadu'nun işlevselliği bu varyantta nispeten daha kısıtlı olsa da, normal uygulamalara kıyasla yüksek yetkilere sahip bir sistem uygulamasının içinde barındığı için kullanıcıdan habersiz uygulama yüklemeye devam edebiliyor.
Kaspersky uzmanları, Keenadu'nun cihazın yüz tanıma kilidinden sorumlu bir sistem uygulamasına gömüldüğünü keşfetti. Bu durum saldırganların potansiyel olarak kullanıcıların biyometrik yüz verilerine erişebileceği anlamına geliyor. Bazı vakalarda ise yazılımın, ana ekran arayüzünü yöneten "launcher" uygulamasına sızdığı görüldü.
300 binden fazla indirilen uygulama Google Play'den kaldırıldı
Kaspersky uzmanları, Google Play'de yer alan bazı uygulamaların da Keenadu ile enfekte olduğunu ortaya çıkardı.
Özellikle akıllı ev kameraları için geliştirilen ve 300 binden fazla indirilen bu uygulamalar, raporun yayınlandığı tarih itibarıyla Google Play'den kaldırıldı. Bu uygulamalar çalıştırıldığında, saldırganlar arka planda kullanıcıya görünmeyen tarayıcı sekmeleri açarak çeşitli internet sitelerinde gizlice gezinebiliyor. Daha önce farklı siber güvenlik araştırmacıları tarafından yapılan çalışmalar da, benzer enfekte uygulamaların bağımsız APK dosyaları veya farklı uygulama mağazaları üzerinden dağıtıldığını doğrulamıştı.
Kaspersky uzmanları kullanıcılara şu önerilerde bulundu:
"Cihazınızdaki tehditlerden anında haberdar olmak için etkin bir güvenlik çözümü kullanın. Eğer cihazınızda enfekte bir aygıt yazılımı (firmware) varsa, üreticinin sunduğu güncellemeleri kontrol edin. Güncelleme sonrası cihazınızı mutlaka tam kapsamlı bir güvenlik taramasından geçirin. Bir sistem uygulamasının enfekte olması durumunda, uygulamayı kullanmayı bırakın ve devre dışı bırakın. Varsayılan başlatıcı (launcher) uygulaması enfekteyse, devre dışı bırakarak üçüncü taraf bir başlatıcı kullanın."
Açıklamada görüşlerine yer verilen Kaspersky Güvenlik Araştırmacısı Dmitry Kalinin, son araştırmalarının, ön yüklü zararlı yazılımların Android ekosisteminde ne kadar ciddi bir tehdit haline geldiğini gösterdiğini belirtti.
Kullanıcıların hiçbir hatalı işlem yapmasa dahi cihazın kutusundan virüslü çıkabildiğine değinen Kalinin, "Bu riskin bilincinde olmak ve bu tür tehditleri engelleyebilecek güvenlik çözümleri kullanmak kritik önem taşıyor. Yazılım kendini yasal bir sistem bileşeni gibi kamufle ettiği için muhtemelen üreticiler de tedarik zincirindeki bu sızmanın farkında değildi. Cihaz yazılımlarının enfekte olmadığından emin olmak için üretim sürecinin her aşamasının titizlikle denetlenmesi şart" ifadelerini kullandı.
