NÜFUZ
Tordow Enfeksiyonu, Facebook, Twitter, Pokemon Go, Telegram veya Subway Surf gibi popüler bir uygulamanın kurulumuyla başlar. Burada orijinal uygulamalar değil, Google Play Store’un dışında dağıtılan kopya uygulamalardan bahsediyoruz. Malware yazanlar orjinal uygulamaları indirip bu uygulamaya yeni kod ve yeni dosyalar ekler.
Orjinal uygulamanın kod eklenmiş hali.
Android geliştirme ile ilgili bilgiye sahip olan herkes bunu yapabilir. Sonuçta ortaya çıkan, orijinaline birebir benzeyen, orjinal uygulama ile aynı işlevleri yerine getiren ancak saldırganların ihtiyaç duyduğu kötü amaçlı işlevlere sahip yeni bir uygulamadır.
NASIL ÇALIŞIR
Bu durumda, orjinal uygulamaya yerleştirilen kod, siber suçlular tarafından uygulamanın kaynaklarına eklenen dosyanın şifresini çözer ve uygulamayı başlatmaktadır.
Başlatılan dosya, saldırganın sunucusuna haber göndererek dosya indirmeye yönelik bağlantıları içeren Tordow’un ana bölümünü indirir (root ayrıcalıklarını kazanmak için bir exploit, kötü amaçlı yazılımın yeni sürümleri gibi zararlıları indirmiş olur). Bağlantıların sayısı suçluların niyetlerine bağlı olarak değişebilir; Ayrıca, indirilen her dosya sunucudan da indirebilir, şifreleri çözebilir ve yeni bileşenleri çalıştırabilir. Sonuç olarak, virüslü cihaza çeşitli kötü amaçlı modüller yüklenir; Sayısı ve işlevleri Tordow sahibinin ne yapmak istediklerine bağlı olarak değişir. Saldırganlar her iki durumda da C&C’den komutlar göndererek cihazı uzaktan kontrol etme şansına sahip olur.
Sonuç olarak siber suçlular,şimdiden geleneksel hale gelen yöntemleri uygulayarak kurbanlarından para çalmak için eksiksiz bir yetki elde etti. Kötü amaçlı uygulamaların işlevleri şunları içerir:
– SMS gönderme, çalma ve silmek.
– Çağrıları, yönlendirme ve çağrıları engellemek.
– Hesap bakiyesini görme.
– Rehberde kayıtlı kişileri çalmak.
– Çağrı yapmak.
– Dosya indirip çalıştırmak.
– Uygulama kurup kaldırmak.
– Cihazı bloke ederek ve kötücül bir sunucu tarafından belirlenen bir web sayfasını görüntülemek.
– Cihazda bulunan dosyaların bir listesini oluşturup ve göndermek.
– Telefon yeniden başlatmak.
YETKİLİ KULLANICI HAKLARI
Tordow, benzersiz özellikler sunan ve root ayrıcalıkları kazandıran popüler bir exploit paketini de indirir.
İlk olarak Trojan, sistem klasörüne indirme modülü yükler ki bu trojanı kaldırmayı zorlaştırır.
İkinci olarak, saldırganlar süper kullanıcı yetkilerini kullanarak varsayılan Android tarayıcısının veritabanını ve eğer yüklenmişse Google Chrome tarayıcısının veritabanını çalar.
Tarayıcılardan sunucuya veri göndermek için kullanılan kod
Bu veritabanları; tarayıcıda, tarama geçmişine, çerezlere ve bazen kaydedilmiş banka kartı ayrıntılarına kadar kullanıcı tarafından saklanan tüm oturum açma ve şifreleri içerir.
Sonuç olarak, saldırganlar mağdurun çeşitli sitelerindeki hesaplarına erişebilir.
Üçüncü olarak; süper kullanıcı yetkileri fotoğraflardan ve belgelere hatta mobil uygulama hesabı verilerini içeren dosyalara kadar neredeyse sistemdeki her dosyayı çalmayı mümkün kılar.
Bu saldırılar, büyük miktarda kritik kullanıcı verisinin çalınmasına neden olabilir. Kullanıcıların resmi olmayan kaynaklardan uygulama yüklememelerini ve Android tabanlı cihazları korumak için antivirüs çözümleri kullanmalarını öneriyoruz.