Rocinante, Android cihazları hedef alan bir uzaktan erişim truva atı (RAT) türü bir enfeksiyondur. Para kaybına, kimlik hırsızlığına, çalınan verilere vb. yol açabilecek çok ciddi bir enfeksiyondur. Öncelikle Brezilya’daki bankacılık kurumlarını hedef alıyor gibi görünüyor.
Rocinante gibi Uzaktan Erişim Truva Atları (RAT’ler) çok tehlikeli enfeksiyonlar olarak sınıflandırılır. Rocinante RAT, esas olarak Brezilya’daki Android cihaz kullanıcılarını, özellikle de belirli bankacılık uygulamalarını kullananları hedefliyor. Truva atı, normal kullanıcılara ek olarak, yüksek profilli kişi ve kuruluşları hedeflemek için de kullanılabilir.
Rocinante truva atı bir cihaza girdikten hemen sonra izin istemeye başlar. Bu, Erişilebilirlik Hizmetleri’ne izin istemek gibi çoğu Android kötü amaçlı yazılımı için tipiktir. Bu, belirli engelleri olan kullanıcıların cihazlarını daha rahat kullanmalarına yardımcı olan meşru bir Android özelliğidir. Ancak, bu özellik genellikle kötü amaçlı yazılımlar tarafından kötüye kullanılır, çünkü esasen kötü amaçlı yazılımların kullanıcıların cihazlarına ve içeriklerine erişmesine izin verir. Kötü amaçlı yazılımlar Erişilebilirlik Hizmetleri’ni kullanma izni alırsa ekranları okuyabilir, tuş vuruşlarını kaydedebilir, bildirimleri okuyabilir ve daha fazlasını yapabilir.
Bu kötü amaçlı yazılımın birincil amacı, kullanıcıların bankacılık oturum açma kimlik bilgilerini kimlik avına çıkarmaktır. Tam olarak kurulduğunda (Erişilebilirlik Hizmetlerini kullanmak için gerekli izinlere ve yeteneğe sahip olduğunda), kullanıcılar bankacılık uygulamalarını açmaya çalıştıklarında sahte ekranlar göstermeye başlayacaktır. Kullanıcılar sahte ekrana oturum açma kimlik bilgilerini yazarsa, kimlik bilgileri çalınır ve böylece kötü niyetli aktörlerin banka hesaplarına erişmesine izin verilir. Rocinante ayrıca bir keylogging özelliğine sahiptir. Bu, diğer hassas hesap oturum açma kimlik bilgilerini çalmasına izin verebilir.
Rocinante RAT enfeksiyonu çok ciddidir. Bir enfeksiyon, çalınan ve kalıcı olarak kaybedilen verilere, mali kayba, gizlilik sorunlarına ve hatta kimlik hırsızlığına neden olabilir. Truva atları genellikle arka planda çalıştıkları ve gözden uzak durdukları için, cihazda bir tür güvenlik uygulaması olmadan bu tür enfeksiyonları fark etmek çok zordur. Kullanıcılar ne arayacaklarını bilirlerse bazı belirtiler fark edilebilir. Örneğin, virüs bulaşmış bir cihaz gecikmeye başlar, uygulamalar çöker, pil kullanımı artar, kullanıcılar rastgele şüpheli web sitelerine yönlendirilebilir, vb. Bununla birlikte, bir truva atı fark etmek mümkün olsa bile, daha fazla zarar görmemesi için onu bir Android cihazdan kaldırmak profesyonel bir güvenlik programına bırakılmalıdır.
Rocinante kötü amaçlı yazılımı (Android) cihaza nasıl girer?
Tüm Android kötü amaçlı yazılımları gibi, Rocinante kötü amaçlı yazılımı da çeşitli şekillerde dağıtılır. Her şeyden önce, Rocinante kötü amaçlı yazılımı meşru bir güvenlik veya bankacılık uygulaması olarak gizlenebilir. Bu gizlenmiş uygulamalar, çeşitli üçüncü taraf uygulama mağazalarında ve şüpheli indirme sitelerinde bulunabilir. Bu genellikle kullanıcıları büyük ölçekte hedeflemek için kullanılan yöntemdir.
Kötü niyetli aktörler, belirli hedefler için genellikle e-postalar ve mesajlar gibi kimlik avı ve sosyal mühendislik saldırıları kullanır. Kötü niyetli aktörler belirli birini hedef alırsa ve belirli kişisel bilgilere erişebilirse, kimlik avı/sosyal mühendislik saldırıları çok karmaşık olacak ve ikna edici görünecektir.
Ve tüm kötü amaçlı yazılımlarda olduğu gibi, kullanıcılar korsanlık yaparken, örneğin crack ve telif hakkıyla korunan içerik indirirken de Rocinante RAT ile karşılaşabilir. Kötü amaçlı yazılım, çeşitli üçüncü taraf uygulama mağazalarında ve şüpheli indirme sitelerinde de çok yaygındır.
Kendinizi Android kötü amaçlı yazılımlarından nasıl korursunuz?
Kullanıcıların Android cihazlarını kötü amaçlı yazılımlardan korumanın birkaç yolu vardır.
İndirmeden önce uygulamaları araştırın
Yüklemeden önce tüm uygulamalar dikkatlice araştırılmalıdır. Kullanıcılar her zaman geliştiriciyi kontrol etmeli, yorumları okumalı, izin isteklerini incelemeli vb.
Uygulamaları indirmek için yasal mağazaları/platformları kullanın
Google Play Store gibi yasal ve resmi uygulama mağazalarına bağlı kalmanız şiddetle tavsiye edilir. Üçüncü taraf uygulama mağazaları genellikle kötü bir şekilde düzenlenir ve bu da kötü niyetli aktörlerin meşru kılıkta kötü amaçlı uygulamaları yüklemesine olanak tanır. Google Play Store, kötü amaçlı yazılımları önlemek için çeşitli güvenlik önlemlerine sahip olduğundan, uygulama indirmek için en iyi yerdir. Ara sıra ortaya çıkan kötü amaçlı yazılımlar Google’ın güvenliğini aşabilse de, özellikle üçüncü taraf uygulama mağazalarına kıyasla çok nadiren gerçekleşir.
İstenen izinleri her zaman dikkatlice gözden geçirin
Bir Android cihazda enfeksiyonları önlemenin en etkili yollarından biri, izinleri bir uygulamaya vermeden önce dikkatlice gözden geçirmektir. Bir uygulama yüklendiğinde, olması gerektiği gibi çalışabilmesi için izin ister. Ancak, kullanıcılar izinleri gözden geçirirken her zaman çok şüpheci olmalıdır. Örneğin, kullanıcılar bir oyun indirirse ve mesajlarını okumak, arama yapmak vb. için izin isterse, bu alarm zillerini çalmalıdır.
Cihazı güncel tutun
Tüm cihazları güncel tutmak ve güncellemeleri çıktıkça yüklemek önemlidir. Güncellemeler, kötü niyetli aktörler tarafından kullanılabilecek bilinen güvenlik açıklarını yamalar, bu nedenle bunları yüklemek çok önemlidir.
Bilinmeyen bağlantılara tıklamayın veya istenmeyen e-posta eklerini açmayın
Bu tavsiye yalnızca Android kullanıcıları için değil, ne tür bir cihaz kullanıyor olurlarsa olsunlar tüm kullanıcılar için geçerlidir. Kullanıcılar, bağlantıları veya ekleri olan istenmeyen SMS, e-posta, mesaj vb. konusunda her zaman çok dikkatli olmalıdır. Kullanıcılar ayrıca devlet kurumlarının (ör. kolluk kuvvetleri, vergi daireleri), bankaların ve diğer kurumların asla SMS mesajları veya içinde bağlantı bulunan e-postalar göndermediğini unutmamalıdır. Kullanıcılar genel olarak bilinmeyen bağlantılara tıklamaktan kaçınmalı ve istenmeyen e-posta eklerini önce iki kez kontrol etmeden (örneğin, bir virüsten koruma programıyla taramadan veya VirusTotal ) asla açmamalıdır.