Intel Security bugün yayınladığı McAfee Labs Mobil Tehdit Raporu: Haziran 2016 ile siber suçluların iki veya daha fazla uygulamayı manipüle ederek kullanıcı verilerinin istismarı, dosyaların incelenmesi, sahte SMS mesajlarının gönderilmesi, kullanıcı rızası olmadan farklı uygulamaların yüklenmesi ve sunucuları kontrol etmek için kullanıcı konumunun gönderilmesi gibi işlemleri nasıl gerçekleştirdiklerini ve mobil uygulamalardaki tuzakların dinamiklerini açıkladı. McAfee Labs mobil video akışı, sağlık gözetimi ve seyahat planlama gibi kullanıcı hizmetleri için tasarlanmış 21 uygulamanın 5000’den fazla sürümünde bu tür kötücül davranışlar tespit etti. Bu uygulamalardaki yazılım güncellemelerinin düzenli olarak yapılmaması eski sürümlerin kötücül niyetli faaliyetlerde kullanılması riskini arttırıyor.
Yıllardır yaygın bir şekilde teorik tehdit olarak düşünülen tuzaklı mobil uygulamalar, mobil işletim sistemlerine özgü uygulamalar arası iletişim özelliklerini kullanarak zararlı işlemler gerçekleştiriyorlar. Bu tür işletim sistemleri kum havuzlarında uygulamaları izole etmek, becerilerini kısıtlamak ve granüler seviyede sahip oldukları izinleri kumanda etmek için pek çok farklı teknik kullanıyor. Mobil platformlarda uygulamaların kum havuzu sınırları üzerinden birbirleriyle iletişime geçebilmesi için çeşitli yöntemler mevcut. Tuzaklı uygulamalar birlikte çalışarak uygulamalar arası becerileri kötü niyetli amaçlara hizmet verecek şekilde kullanabiliyor.
En büyük 3 mobil tehdit:
• Bilgi hırsızlığı: Hassas/gizli bilgilere erişimi olan bir uygulamanın, kasten veya istemeden bir veya birden fazla uygulamayla işbirliği yapması ve cihaz sınırları dışına bilgi göndermesi
• Mali hırsızlık: Bir uygulamanın, mali işlemler gerçekleştirmek veya mali API aramaları yapabilmek amacıyla başka bir uygulamaya bilgi göndermesi
• Hizmetin suistimali: Bir uygulamanın, sistem hizmetini kontrol altına alıp, farklı uygulamalardan komut veya bilgi alarak kötücül amaçlı işlemler gerçekleştirmesidir.
Mobil uygulamalardaki tuzakların oluşabilmesi için şunlara ihtiyaç vardır:
1) Erişimi kısıtlı bilgi veya hizmetlere erişim izni olan en az bir uygulama
2) Erişim iznine sahip olmayan ancak cihaz dışına erişimi olan bir uygulama
3) Bu uygulamaların birbirleriyle iletişim becerisine sahip olmaları
Bu uygulamalardan herhangi biri, veri sızması veya kötücül amaçlı kütüphanenin veya yazılım geliştirme setinin eklenmesi yüzünden kasten veya istemsizce işbirliği yapabiliyor. Bu tür uygulamalar, imtiyazlara ilişkin bilgi alışverişi yapmak ve uzaktan verilen komutlar için giriş noktası olarak kullanılmak üzere hangisinin optimal konumda bulunduğunu tespit etmek için ortak alan (herkesin okuyabileceği dosyalar) kullanabilirler.
2016 İlk Çeyreğindeki Tehdit İstatistikleri
• Fidye yazılımlar. Düşük vasıflı suçluların da fidye yazılım siber suç çevrelerine girmeye başlamaları ile yeni fidye yazılım örneklerinde bu çeyrek dönemde %24 oranında artış yaşandı.
• Mobil. Yeni mobil kötücül yazılım örnekleri 2016 yılı ilk çeyreğinde bir önceki döneme göre %17 oranında arttı. Toplamda mobil kötücül yazılım örneğindeki artış ise %23 oranında gerçekleşerek, son bir yıllık dönemdeki artışı %113’e taşıdı.
• Mac OS’a yönelik kötücül yazılımlar. Özellikle VSearch zararlı reklam yazılımındaki artış nedeniyle Mac OS’a yönelik kötücül yazılımlar yılın ilk çeyrek döneminde hızla büyüdü. Toplam örnek sayısı son çeyrekte %68 oranında, son bir yılda ise %559 arttı.
• Makro kötücül yazılım. Yeni makro kötücül yazılım örneklerindeki 2015 yılında %42 oranında yaşanan artış halen devam ediyor. Yeni makro kötücül yazılım türleri sosyal mühendislik aracılığıyla derlenen bilgileri kullanan gelişmiş spam saldırılarıyla kurumsal ağlara saldırmayı sürdürüyor.
• Gamut botnet. Hacmini yaklaşık %50 oranında arttıran Gamut botnet, ilk çeyreğin en etkin spam botneti oldu. Yaygın spam saldırıları, hızla zengin olma vaatleri ve sahte ilaç tedariki sunuyor gibi görünüyor. 2015 yılı son çeyreğinde en hızla yaygınlaşan spam botnet olan Kelihos ise dördüncü sıraya yerleşti.