Fabrika ayarlarına dönmek bile yetmiyor

Android dünyasında son yılların en sinsi ve “yapışkan” saldırılarından biriyle karşı karşıyayız. McAfee tarafından detaylandırılan NoVoice zararlısı, sadece bir virüs değil; işletim sisteminin kalbine sızan bir “hayalet” gibi davranıyor. 2,3 milyondan fazla cihazı enfekte eden bu yazılımın, cihazı sıfırlasanız (factory reset) bile geri gelebilmesi, siber güvenlikte “persistence” (kalıcılık) dediğimiz kabusun en somut örneğidir. İşte bu tehlikenin anatomisi. NoVoice Nasıl Sızıyor ve Gizleniyor? Bu malware’in en tehlikeli yanı, başlangıçta çok masum görünmesi. Bu zararlı resim galerileri, oyunlar veya “Cleaner” (temizlik) uygulamaları olarak karşımıza çıkıyor. Bulaşan bu zararlı yüklü gelen uygulama ile  vaat ettiği işi (örneğin fotoğraf düzenleme) gerçekten yapıyor. Bu da kullanıcının şüphelenmesini engelliyor. İlk açılışta cihazınızın kernel sürümünden donanım detaylarına kadar her şeyi saldırganın sunucusuna (C2) gönderiyor. Ardından da veri madenciliği başlıyor. “Reset” Neden İşe Yaramıyor? Normal şartlarda telefonunuzu sıfırladığınızda kullanıcı verileri silinir ancak sistem dosyalarına dokunulmaz.  NoVoice, 2016-2021 yılları arasındaki eski açıkları kullanarak telefonunuzda tam yetki (Root) alıyor. Yani sistemi manipülasyona uğratıyor. Sistemin kritik kütüphanelerini kendi modifiye edilmiş sürümleriyle değiştiriyor. Siz telefonu sıfırladığınızda sistem bu virüslü dosyaları “orijinal” sanarak koruyor. Bu zararlının en büyük hedefi ise Whatsapp uygulamanız.  NBoVoice, özellikle WhatsApp gibi mesajlaşma uygulamalarına sızarak yazışmalarınızı ele geçirmeyi hedefliyor. Kendinizi Nasıl Korursunuz? McAfee ve güvenlik uzmanlarının üzerinde durduğu en kritik nokta güncelleme. NoVoice, 2021 yılından önce kapatılmış olan açıkları kullanıyor. Eğer cihazınızda 2022, 2023 veya daha yeni bir güvenlik yaması varsa, bu zararlı Root yetkisi alamaz. Eğer cihazınız enfekte olduysa ve sıfırlamaya rağmen düzelmiyorsa, tek çözüm cihazın orijinal yazılımını (Firmware) bilgisayar üzerinden yeniden kurmaktır (Flashing). Unutmayın.  Google uygulamaları mağazadan sildi ancak telefonunuzdaki “Google Play Protect” özelliğinin açık ve tarama yapmış olduğundan emin olun. Güncellemenin önemi Bu olay, “Eski telefonumu hala kullanabilirim, ne olacak ki?” düşüncesinin ne kadar riskli olduğunu gösteriyor. Eğer telefonunuz artık güvenlik güncellemesi almıyorsa, o cihaz bir saatli bombadır. NoVoice, özellikle Triada trojanı ile benzerlikler taşıyor; bu da arkasında profesyonel bir siber suç örgütü olduğunun kanıtı. (Kaynak: CNN)