FinSpy, yeni iOS ve Android sürümleriyle geri döndü

Kaspersky uzmanları gelişmiş zararlı izleme aracı FinSpy’ın yeni sürümlerini keşfetti. Yeni sürümler iOS ve Android cihazlarında çalışıyor ve şifrelenmiş olanlar da dahil, neredeyse tüm mesajlaşma servislerindeki hareketleri izleyebiliyor. Yeni sürümler ayrıca izlerini eskisinden de iyi gizliyor. Bu araç saldırganlara cihazdaki tüm faaliyetleri izleme ve GPS, konum, mesajlar, resimler ve aramalar gibi hassas verileri çalma olanağı veriyor.

Hedefli izleme için son derece etkili bir araç olan FinSpy, daha önceleri uluslararası STK’lar, kamu kurumları ve emniyet teşkilatlarından bilgi çalmak için kullanılmıştı. Bu aracı kullananlar, belirli grupları hedef almak için FinSpy sürümlerinde değişiklik yapabiliyor.

Zararlı yazılımın temel işlevi cihazdaki faaliyetlerin neredeyse tamamını izlemek. Bunlar arasında coğrafi konum, tüm gelen ve giden mesajlar, kişiler, cihazda saklanan medya dosyaları ve WhatsApp, Facebook messenger veya Viber gibi popüler mesajlaşma servislerindeki veriler yer alıyor. Çalınan tüm veriler SMS mesajları veya HTTP protokolü ile saldırganlara ulaşıyor.

Zararlı yazılımın bilinen son sürümleri izleme işlevine yeni mesajlaşma servislerini de ekledi. Telegram, Signal ve Threema gibi “güvenli” olduğu düşünülen servisler de artık FinSpy’dan etkileniyor. Bu zararlı yazılımın arkasındaki kişiler şimdi izlerini daha iyi gizliyor. Örneğin, iOS 11 ve daha sonraki sürümleri hedef alan iOS versiyonu jailbreak izlerini gizleyebiliyor. Yeni Android sürümü ise kök yetkileri (root) kapalı olan bir cihazda bile tüm kök yetkilerini alarak cihaz üzerinde neredeyse sınırsız erişime kavuşuyor.

Kaspersky’nin elindeki bilgilere göre, zararlı yazılımın bulaştırılması için saldırganların hem Android hem de iOS tabanlı, jailbreak/root işlemi uygulanmış cihazlara fiziksel erişimi gerekiyor. Jailbreak/root işlemi uygulanmış telefonlar için en az üç olası bulaşma vektörü bulunuyor: SMS mesajı, e-posta veya anlık bildirimler.

Kaspersky ölçümlerine göre geçtiğimiz yıl içinde düzinelerce cihaz bu zararlı yazılımdan etkilendi.

Kaspersky Güvenlik Araştırmacısı Alexey Firsh: “FinSpy’ın geliştiricileri mobil platformlardaki güvenlik güncellemelerini yakından takip ediyor ve zararlı programlarını buna göre hızla değiştirerek çalışmalarının durmasını engelliyor. Ayrıca, trendleri de izleyerek popüler olan uygulamalardan veri çalmak için yazılıma yeni işlevler ekliyorlar. FinSpy sürümlerinden etkilenen kurbanlara her gün rastlıyoruz. Bu nedenle en son platform güncellemelerini takip etmek ve çıkar çıkmaz kurmak çok önemli. Kullandığınız uygulamalar ne kadar güvenli olursa olsun, siz verilerinizi korusanız bile telefonunuzda root veya jailbreak işlemi yaptıysanız izlenmeye açıksınız demektir.” dedi.

Kaspersky, FinSpy’dan kaçınmak için kullanıcılara şunları tavsiye ediyor:

• Akıllı telefonunuzu veya tabletinizi kilidi açık bir şekilde bırakmayın. Pin kodunuzu girerken kimsenin sizi görmediğinden emin olun.
• Cihazınıza jailbreak veya root işlemi uygulamayın. Bu işlemler saldırganların işini kolaylaştırır.
• Yalnızca Google Play gibi resmi uygulama mağazalarından uygulama indirin.
• Tanımadığınız numaralardan gönderilen şüpheli bağlantılara tıklamayın.
• Cihaz ayarlarınıza girerek, bilinmeyen kaynaklardan program yüklenmesini engelleyin.
• Mobil cihazınızın parolasını veya giriş kodunu güvendiğiniz kişilere bile vermeyin.
• Bilmediğiniz dosya veya uygulamaları cihazınızda tutmayın. Bunlar gizliliğinizi ihlal ediyor olabilir.
• Mobil cihazlar için Kaspersky Internet Security for Android gibi başarısı kanıtlanmış bir güvenlik çözümü kurun.

Raporun tamamını Securelist.com adresinde okuyabilirsiniz.