xHelper, Android Aygıtları Etkilemeye Devam Ediyor
Geçtiğimiz yılın ekim ayında xHelper isimli makus gayeli bir yazılımdan sizlere bahsetmiştik. 2019 Mart ayında tespit edilen makus hedefli …
Geçtiğimiz yılın ekim ayında xHelper isimli makus gayeli bir yazılımdan sizlere bahsetmiştik. 2019 Mart ayında tespit edilen makus hedefli yazılım, birinci olarak Google Play Store’da ortaya çıkmıştı. Ekim ayından bu yana xHelper’ın etkilediği aygıt sayısı ise 45 binden 50 bine yükseldi.
Silinemeyen ziyanlı yazılım: xHelper
Kaspersky takımı, kendisini “Trojan-Dropper.AndroidOD.Helper.h”de gösteren, aygıtınızı temizlediği ya da performansını artırdığını tez eden uygulamalarla yayılan xHelper’ı tahlil etti. Yazılımı aygıtınıza indirdiğinizde, yüklediğinizde ve akabinde çalıştırdığınızda “Trojan-Downloader.AndroidOS.Leech.p ismi verilen öteki bir ziyanlı yazılımı indiriyor.
Lakin olaylar burada da noktalanmıyor. Leech.p daha sonra “HEUR:Trojan.AndroidOS.Triada.dd’yi indiriyor ve aygıtın kök erişimine (root access) müsaade veriyor. Kaspersky’ın belirttiğine nazaran bu kök erişimi, Android 6 yahut Android 7 çalıştıran ucuz Çin telefonlarında gerçekleşebiliyor. Yazılım, sağladığı bu kök erişimi sayesinde sisteme daha fazla ziyanlı yazılım indiriyor. Yazılım, daha sonra kendisini dokunulmaz hale getiriyor ve silinemiyor. Bu yüzden anti virüs programlarının bu meseleyle baş etmesi daha da sıkıntı hale geliyor.
Kaspersky’dan Igor Golovin, yazılımın kök erişimi sayesinde daha da güçlendiğini belirtiyor ve “Triada, programlarını yüklemek için sistem bölmelerini yine yerine getirmek üzere epeyce güzel numaralara sahip” diyor. xHelper’ın ‘yok edilemez’ olarak tanımlanmasının sebebi de burada yatıyor. Kimi belgeleri silindiğinde dahi C&C sunucusundan gerekli bileşenleri yine indirmek ayrıcalıklarını muhafazaya devam edebiliyor. Aygıt, fabrika ayarlarına döndürülse bile bu yazılımdan kurtulamıyor.
Tüm bunları bir nevi açmaza sokan şey ise birçok ucuz Android aygıt, donanımında bu ziyanlı yazılım yüklü biçimde çıkıyor. Bu sayede xHelper’ı ve öteki ziyanlı trojanları indirebiliyor. Golovin, bu noktada fabrika ayarlarına dönmenin pek bir mana söz etmediğini söylüyor. Golovin, yazılımın bulaştığı aygıtı büsbütün kurtarmanın tek yolunun alternatif aygıt yazılımı kullanmak olduğunu söylüyor ki birtakım aygıtların donanımlar da bu hususta çok verimli değil.
Sonuç olarak, bu mevzuda yapılabilecek tek şey aygıtınıza yükleyeceğiniz yazılımlar konusunda daha dikkatli varmak olacaktır. Play Store’da da ziyanlı yazılım problemleri oluşsa da üçüncü parti uygulama mağazalarından ya da bilinmeyen kaynaklardan indirilen uygulamalar riskleri daha da artıracaktır.