Rafel kötü amaçlı yazılımı, Android cihazları hedef alan çok tehlikeli bir enfeksiyondur. Bu, operatörlerinin virüslü cihaz üzerinde uzaktan kontrol sahibi olmasını sağlayan bir Uzaktan Erişim Truva Atı (RAT) türü enfeksiyondur. Bir cihaza başarılı bir şekilde bulaşırsa ve gerekli izinleri alırsa, hassas verileri çalabilir, kilitleyebilir ve verileri şifreleyebilir.
Refal gibi Uzaktan Erişim Truva atları en tehlikeli enfeksiyonlardan biri olarak kabul edilir. Bu özel RAT enfeksiyonu, dünya çapında, özellikle ABD, Hindistan, Çin ve Endonezya’da Android cihazları hedef alıyor. Birkaç yüksek profilli kuruluş ve kuruluş, bu kötü amaçlı yazılımı çalıştıran saldırganlar tarafından hedef alındı.
Refal, onu kontrol eden kişinin ihtiyaçlarına uyacak şekilde değiştirilebilir. Birkaç siber suçlu grubunun bu truva atını kullandığı bilinmektedir. Kötü amaçlı yazılımın cihazlara girmesinin birkaç yolu vardır ve bu, aşağıda daha ayrıntılı olarak ele alınacaktır. Cihaza girdikten sonra izin istemeye başlar. İzin verilirse, kötü amaçlı yazılım önce cihaz modeli, donanım ayrıntıları, pil bilgileri, kök durumu, coğrafi konum verileri, dil ayarları, cep telefonu operatörü, yüklü uygulamalar vb. dahil olmak üzere cihaz verilerini toplar.
Kötü amaçlı yazılım oldukça gizlidir ve meşru uygulamaları taklit ederek tespit edilmekten kaçınabilir. Sistem önyüklendiğinde otomatik olarak başlamasına izin verebilir, pili korumak için uyumaya zorlanmayı atlayabilir ve uygulama kapatıldıktan sonra arka planda çalışabilir.
Truva atı, engelli kullanıcıların cihazlarını daha rahat kullanmalarına yardımcı olan bir özellik olan Android Erişilebilirlik Hizmetleri’ni de kötüye kullanır. Kötü amaçlı yazılım, ekranları okumak, klavyeyle etkileşim kurmak vb. için bu özelliği kullanır. Kötü amaçlı yazılım ayrıca dosyaları çalabilir ve silebilir, ayrıca bir SD hafıza kartındaki verileri silebilir. Ayrıca kişi listelerini ve arama günlüklerini çalabilir, SMS mesajlarını okuyabilir ve gönderebilir, telefon görüşmeleri yapabilir, bildirimleri okuyabilir ve çok faktörlü kimlik doğrulama kodları alabilir. Ayrıca cihazdaki verileri şifreleyebilir ve kilitleyebilir.
Genel olarak, Rafel kötü amaçlı yazılımı, çalınan ve kalıcı olarak kaybolan verilere, kimlik hırsızlığına, mali kayba, gizlilik sorunlarına vb. neden olabilecek çok ciddi bir enfeksiyondur.
Cihaza nasıl girilir Rafel malware (Android) ?
Rafel kötü amaçlı yazılımı birkaç farklı şekilde dağıtılır. Her şeyden önce, Rafel kötü amaçlı yazılımı Instagram, WhatsApp, anti-virüs programları, araçlar vb. gibi meşru uygulamalar olarak gizlenebilir ve şüpheli indirme web sitelerinde tanıtılabilir.
Ayrıca kimlik avı ve sosyal mühendislik saldırıları kullanılarak da yayılabilir. Bu, büyük olasılıkla kötü niyetli aktörler belirli birini hedef aldığında kullanılan yöntemdir. Kişisel bilgilere erişimleri varsa, sosyal mühendislik saldırılarını çok inandırıcı hale getirebilirler. Bununla birlikte, bu tür karmaşık saldırılar genellikle yüksek profilli hedefler için ayrılmıştır.
Tüm kötü amaçlı yazılımlarda olduğu gibi, crack ve korsan içerik indirirken bir cihaza Rafel RAT bulaştırmak mümkündür. Kötü amaçlı yazılım, çeşitli üçüncü taraf uygulama mağazalarında ve şüpheli indirme sitelerinde de çok yaygındır.
Rafel kötü amaçlı yazılım bulaşmasına özgü bir dağıtım yöntemi, Hamster Kombat olarak bilinen Telegram tabanlı bir tıklama oyununun kimliğine bürünmektir. Oyun çok popüler hale geldi çünkü esasen kripto para birimi eşantiyonları olan şeyleri tutmayı vaat ediyor. Oyun 2024’te çok popüler hale geldi, bu nedenle kötü niyetli aktörler, cihazlara ciddi kötü amaçlı yazılımlar bulaştırmak için oyunun kimliğine bürünüyor. Hamster Kombat oyununun bu sahte versiyonu, resmi olmayan Telegram kanalları aracılığıyla dağıtılıyor. Uygulama indirildiğinde, varsayılan SMS uygulaması olmak da dahil olmak üzere hemen endişe verici izinler ister.
Image source: ESET WeLiveSecurity
Kendinizi Android kötü amaçlı yazılımlarından nasıl korursunuz?
- İndirmeden önce uygulamaları araştırın
Gelecekte kötü amaçlı yazılımlardan kaçınmak istiyorsanız, uygulamaları cihazınıza yüklemeden önce dikkatlice incelemek bir alışkanlık haline gelmelidir. Yasal bir kaynaktan bir uygulama indirirken bile, geliştiriciyi kontrol etmeniz, yorumları okumanız, hangi izinlerin istendiğini incelemeniz vb. gerekir.
- Uygulamaları indirmek için yasal mağazaları/platformları kullanın
Şüpheli veya kötü amaçlı uygulamalar yüklemekten kaçınmak için resmi mağazalara ve indirme platformlarına bağlı kalın. Üçüncü taraf uygulama mağazaları yalnızca zayıf güvenliğe sahip olmakla kalmaz, aynı zamanda kötü bir şekilde düzenlenir, bu da kötü niyetli aktörlerin uzun süre ayakta kalan kötü amaçlı uygulamaları yüklemesine ve kaldırılmadan önce binlerce kullanıcıya bulaşmasına olanak tanır. Kötü amaçlı yazılımlar zaman zaman Google’ın güvenliğini gizlice geçip Google Play Store’a yüklense de, Play Store’dan kötü amaçlı bir şey indirme şansı önemli ölçüde daha düşüktür.
- İstenen izinleri her zaman dikkatlice gözden geçirin
Cihazınıza bir uygulama yüklediğinizde, olması gerektiği gibi çalışabilmek için izin ister. Kendinizi kötü amaçlı uygulamalardan korumak için, bir izin isteği açıldığında körü körüne “İzin Ver” i tıklamayın. Belirli bir uygulamanın neden istediği izinlere ihtiyaç duyduğunu her zaman sorgulayın. Örneğin, bir oyun indirirseniz ve mesajlarınızı okumak, arama yapmak vb. için izin isterse, bu hemen bir kırmızı bayrak olmalıdır.
- Cihazınızı güncel tutun
Güvenlik açıkları geliştiriciler tarafından her zaman keşfedilir ve bunları düzeltmek için güncellemeler yayınlanır. Güncellemeleri atlarsanız, cihazınız siber saldırılara karşı savunmasız hale gelir.
- Bilinmeyen bağlantılara tıklamayın veya istenmeyen e-posta eklerini açmayın
SMS, e-posta, mesajlaşma uygulamaları vb. yoluyla alınan istenmeyen bağlantılara karşı çok dikkatli olun. Bilinmeyen bağlantılara asla tıklamayın ve devlet kurumlarının (ör. kolluk kuvvetleri, vergi daireleri), bankaların ve diğer kurumların bağlantı içeren SMS mesajları göndermediğini unutmayın. Ayrıca, istenmeyen e-posta eklerini önce iki kez kontrol etmeden asla açmamalısınız.