Haber Detayı

Android Cihazları Xavier Zararlı Yazılımı Tehdit Ediyor!
Okunma : 2358 05.07.2017 16:22:05
 Süresiz Yayın 18.05.2018 19:51:52
TrendLabs firmasının keşfettiği Xavier Zararlı yazılımı oldukça tehlikeli

TrendLabs firmasının keşfettiği Xavier Zararlı yazılımı oldukça tehlikeli. ANDROIDOS_XAVIER.AXM adıyla adlandırılan bu zararlı yazılımın 800 farklı mobil yazılıma bulaştığı ve bu mobil uygulamaların Google Play Store ( Mobil uygulama dükkanı) üzerinden milyonlarca kez indirildiği düşünülüyor, bu yüzden yayılma grafiği oldukça geniş.

 

 

Yayılma trafiğine bakacak olursak, en çok indirilme güneydoğu asya, Vietnam, Filipinle, Endonezya başta gelen ülkeler arasında, Türkiye’nin de içinde bulunduğu %37’lik grup ise endişe verici boyutu gözler önüne seriyor.

 

“Xavier zararlı yazılımın casusluk becerileri yüzünden tespiti oldukça güç çünkü kendini koruma mekanizması statik ve dinamik analizlerden saklamayı başarıyor.”

 

Eğer Xavier, sanal ya da emülasyon bir cihaz da çalışırsa, kendini hemen kapatmaktadır.

 

Bulaştığı mobil cihaz üzerinde, birçok telefon ve kullanıcı bilgisini dışarı yaymaktadır. Bunlar ilk başta zararsız gibi gözükebilir çünkü yaydığı bilgiler cihaz üreticisi, dil bilgisi, coğrafi bölge ve ülke bilgisinden oluşuyor fakat uygulama e-posta bilgisi ve diğer kişisel bilgileri de yayabilme olanağına sahip. En çok telefon bakım, fotoğraf düzenleme ve zil sesi uygulamalarında rastlanmaktadır.

 

C&C sunucusuna sızdırdığı bilgilerin tam listesi:

 

 

·       Üretici

·       Kaynak

·       Sim kart ülkesi

·       Ürün

·       Yayıncı_id

·       Sim kart operatör

·       Servis_id

·       Dil

·       Çözünürlük

·       Model Bilgisi

·       İşletim Sistemi Sürümü

·       Cihaz Adı

·       Cihaz id

·       Yüklü uygulamalar

·       Android id

·       E-Posta Adresi

 

Xavier zararlı yazılımın gelişimine bakacak olursak, 2015 yılında, joymobile uygulamasında kendini gösteren yazılım, uzaktan komut çalıştırma yeteneğine sahipti. Aynı zamanda kullanıcı verileri toplarken, eğer cihaz root’lan mış ise, diğer zararlı mobil APK (uygulama) larıda sessizce arka planda indirip kurmaktadır.

 

 

2. varyasonunda ise, navitemod adıyla alınan bu sürümde, base64 formatında kodlayarak, C&C sunucusuna yollamaktadır.

2016 yılında çıkan 3. Varyasyonda ise, şifreleme algoritması ile uzak sunucudan şifreli şekilde haberleşme sağlamaktadır.

Xavier zararlı yazılımı içeren örnek bir uygulama ise resimde görüldüğü gibidir.

 

 

Bu ve buna benzer zararlı yazılımların bulaşmasını engellemek için en önemlisi, kaynağı bilinmeyen uygulamaları yasal bir şekilde Google Play Store( Google Uygulama Dükkanı) da olsa bile kesinlikle kurulmamalıdır. Ayrıca uygulama yüklenmeden önce , uygulamaya yapılan yorum ve puanlamaya da dikkat edilmelidir, ek olarak uygulama ve cihazınızın güncel yamalarını yüklemek, zararlı yazılımların bulaşmasını engelleyecek önemli kısımdır.

 

 

Çeviri: Gökhan - BGYS Birimi

 

Xavier Analiz Raporu:

https://documents.trendmicro.com/assets/appendix--analyzing-xavier-an-information-stealing-ad-library-on-android.pdf

 

Kaynak:

https://devs-lab.com/android-malware-xavier-infected-800-apps-play-store.html

http://www.techspot.com/news/69756-new-android-malware-xavier-quietly-steals-data.html

http://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-xavier-information-stealing-ad-library-android/