android etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
android etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

07 Aralık 2019

Siber Güvenlik Bülteni- Ekim 2019

Siber Saldırganlar Avast'a Sızdı

Çekya merkezli antivirüs yazılımları üreticisi Avast, siber saldırganların şirketin iç ağına sızdığını tespit ettiklerini duyurdu.
Yetkililer yaptığı açıklamada, saldırganların fark edilmemek için büyük çaba harcadıklarını ve Temmuz 2017’de Avast tarafından satın alınan CCleaner’a zararlı kod yerleştirmek amacıyla bu saldırıyı düzenlediklerini keşfettiklerini belirtti.
Saldırganların bir Avast çalışanının VPN oturum açma bilgilerini ele geçirerek saldırıyı gerçekleştirdikleri, oturum bilgileri ele geçirilen kullanıcının adminlik yetkisi olmadığı ancak saldırganlar tarafından domain üzerinde yetkilerinin yükseltildiği belirtildi.
23 Eylül’de şirket ağında şüpheli hareketler keşfeden güvenlik yetkilileri 25 Eylül itibari ile tüm güncellemeleri durdurdu ve önceki sürümlerde değişiklik yapılıp yapılmadığını inceledi. 15 Ekim’de risk içermeyen otomatik bir güncellemeye yayınlayarak eski sertifikayı geri çekti.

İran'lı Hackerlar Seçime Kilitlendi

Teknoloji devi Microsoft, devlet destekli İran’lı hackerların 2020 ABD başkanlık seçimlerini hedefleyen siber saldırılar gerçekleştirdiklerini belirtti.
Ağustos ve Eylül ayında Phosphorus grubunun 2700’den fazla Microsoft hesabına saldırı girişimi gerçekleştirdiğini ve 241 saldırıyı tespit ettiklerini belirten yetkililer,  2020 seçiminde rol alan kişiler, eski ve şu anki ABD yetkilileri, gazeteciler ve İran dışında yaşayan İran’lıların hedeflendiğini belirtti.
2016 yılındaki başkanlık seçimlerinde benzer problemler yaşayan ABD, ülkede Rusya Soruşturması olarak bilinen bir dava açmıştı.

Network Solutions Veri İhlali

Dünyanın en büyük alan adı kayıt şirketlerinden birisi olan Network Solutions ile 2 yan kuruluşu olan web.com ve register.com siber saldırıya uğrayarak 22 milyon hesap bilgisini çaldırdı.
Ağustos ayının sonlarında gerçekleştiği tespit edilen saldırıyı 16 Eylül’de fark eden yetkililer, çalınan bilgiler içinde kişilerin isim, adres, telefon numarası ve e-mali adresleri ile aldıkları hizmet bilgilerinin saldırganların eline geçtiğini, kredi kartı bilgilerinin çalınmadığını belirtti.
Firma 2009'da da saldırıya uğrayarak 500,000 kredi kartı bilgisini çaldırmıştı.

Sadece Hosting Saldırıya Uğradı

Geçtiğimiz yıllarda Telecity Group’a satılarak adını duyuran Sadece Hosting (Premier Dc Veri Merkezi) siber saldırıya uğrayarak verilerin 3.şahısların eline geçtiğini KVKK’ya bildirdi. 
50 binden fazla siteyi barındıran Sadece Hosting, 9 Ekim tarihinde gerçekleşen saldırı ile kişilerin adres, iletişim, alan adı ve kurumsal müşterilerin bazı bilgileri ile birlikte 2018 yılının Ağustos ayından önce kredi kartı ile ödeme yapan müşterilerin kredi kartı bilgilerini de çaldırdı.
Şirket, kullanıcı adı ve parolaların kötü niyetli kişilerin ellerine geçmesi durumunda yaşancak problemlere karşı, bazı parolalar sıfırlandı. Parola sıfırlamanın mümkün olmadı sistemler için ise çağrı merkezini arayarak yardım alınması gerektiğini belirtti.

Johannesburg Siber Saldırı Altında

Güney Afrika Cumhuriyeti’nin en büyük, Afrika kıtasının en kalabalık üçüncü şehri olan Johannesburg, Shadow Kill Hacker isimli siber saldırganların hedefi oldu.
Saldırganlar tüm sistemi ele geçirdikten sonra şifreleyerek yöneticilere bir mesaj iletti. Şehrin sunucularının hacklendiği, tüm sistemlerde arka kapıların olduğunu, şifreler, nüfus bilgileri, finansal bilgiler gibi bir çok bilginin de ellerinde olduğunu belirten saldırganlar, sistemi eski haline getirmek için 4 Bitcoin istedi.
Saldırganların talebine red cevabı veren yöneticiler tüm hizmetleri askıya alarak, sistemleri eski haline getirmek için uğraşacaklarını belirtti. Saldırganlar ise, ele geçirdikleri bilgilerin ekran görüntülerini paylaşarak hassas bilgileri yayınlamakla tehdit etti.
Temmuz ayında şehrin elektrik dağıtım hatlarını hedef alan bir saldırı gerçekleşmiş, şehirde bazı noktalara birkaç gün elektrik verilememişti. Ayrıca saldırıda bu saldırının aksine çalışanların bilgisayarları da şifrelenmemişti.

Gürcistan'a Rus Kancası

Gürcistan’da aralarında cumhurbaşkanlığı, sivil toplum kuruluşları, ulusal TV istasyonu, mahkeme ve dava bilgilerini içeren kişisel bilgilerin hedef alındığı geniş çaplı bir saldırı gerçekleştirildi.
15 binden fazla internet sayfasını da ele geçiren saldırganlar, sayfalara 2004-2013 yılları arasında Gürcistan Cumhurbaşkanlığı görevini yürüten Mikheil Saakashvili’nin “Geri döneceğim” notlu fotoğrafını paylaştı.
BBC’nin haberine göre, saldırının arkasında Rus’ların olduğu belirtiliyor. 2008 yılında Gürcü sitelerini hedef alan Rus saldırganlar aralarında Dışişleri Bakanlığı’nın da bulunduğu birçok kamu kurumuna zarar vermişti.

Android Kullananlar Dikkat

WhatsApp’ın 2.19.244 ve önceki sürümlerinde GIF dosyalarından kaynaklanan ve Android kullanıcılarını etkileyen yeni bir güvenlik açığı keşfedildi.
CVE-2019-11932 olarak isimlendirilen güvenlik açığı Android 8.1 ve 9.0 versiyonlarında çalışıyor. Özel hazırlanmış GIF dosyası gönderildikten sonra, kullanıcının WhatsApp galerisini açmasını bekleyen saldırganlar telefonda ses kaydı alma, kameraya erişme, dosya sistemlerine erişme ve WhatsApp’ın korumalı sohbet veritabanını içeren sanal alan depolaması gibi  WhatsApp’ın sahip olduğu tüm izinlere sahip olabiliyor.
Güvenlik açığı, GIF dosyalarının önizlemelerini oluşturmak için kullanılan “libpl_droidsonroids_gif.so” adlı kaynak kütüphanesinde bulunuyor.

Yenilenebilir Enerji Şirketine Siber Saldırı

Utah merkezli güneş ve rüzfar enerjisi üreten sPower şirketi siber saldırıya uğrayarak üretim tesisleri ile bağlantısını kaybetti. Yayınlanan rapora göre ilk olarak Nisan ayında ortaya çıkan ve Eylül ayında bir benzer saldırı daha yaşayan şirket ABD’de siber saldırıya uğrayan ve üretim tesisleri ile bağlantısını kaybeden ilk yenilenebilir enerji şirketi oldu.
Saldırganlar Cisco güvenlik duvarındaki açığı kullanarak komuta merkezi ile rüzgar ve güneş enerjisi üretim tesisleri arasındaki bağlantıyı kesti.
2016 yılının kış aylarında Ukrayna’da gerçekleştirilen ve yarım milyon insanı elektriksiz bırakan saldırıyı akıllara getiren bu saldırı, önümüzdeki yıllarda enerji sektörüne yönelik siber saldırıların da artabileceğini gösteriyor.
Yayınlanan bir rapora göre, en fazla siber saldırıya maruz kalan sektör %38 ile sağlık sektörü oldu. Bu saldırıların %36’sı insan hatası ile gerçekleşti.

Google Chome’un yayınlanan son versiyonunun  (78.0.3904.87) piyasaya sürülmesi ile birlikte iki yeni ZeroDay açığı keşfedildi. Zafiyetten Windows, MacOS ve Linux kullanan tüm kullanıcılar etkileniyor.

WhatsApp, kendisini hackleyerek 1400 kişinin telefonuna casus yazılım bulaştıran İsrail’li NSO firmasına dava açtı.Şirket suçlamaları kabul etmedi.

Kuzey Kore destekli siber saldırganlar Hindistan’da bulunan Kudankulam Nükleer Santraline zararlı yazılım bulaştırdı. Zararlı yazılım sadece idari ağa bulaştı.

Ekim ayı içinde Amerika ve Avustralya’nın belli noktalarında sağlık sektörünü hedef alan saldırılar gerçekleştirildi.Sistemleri zarar gören hastanelerde ameliyatlar ve randevular iptal edilerek hastalar başka hastanelere sevk edildi.

Singapur’da sağlık sektörüne yapılan saldırıda aralarında Başbakan Lee Hsien Loon’un da bulunduğu 1.5 milyon kişinin, kişisel bilgileri çalındı.

Türkiye’de gerçekleşen saldırıların büyük çoğunluğu sosyal mühendislik yöntemi ile gerçekleşiyor.

Facebook’a KVKK tarafından 1 milyon 600 bin lira para cezası verildi. Başkasının gözünden gör ihlali için verilen bu cezadan Facebook’u Türkçe olarak kullanan 280 bin kişi etkilendi.

29 Nisan 2018

Siber Güvenlik Bülteni - Nisan 2018

WannaCry Geri Döndü!

Geçtiğimiz sene dünyanın bir çok noktasında büyük zararlar veren WannaCry geri döndü. Avustralya’da 55 trafik kamerasını devre dışı bırakan ve ve Redflex tarafından yönetilen hız kameralarını bozduğu tespit edilen WannaCry Asya’da da etkilerini gösterdi.

Geçen sene, günde ortalama 1000 araç üretilen Honda’nın Japonya’daki Sayama tesislerini etkileyerek üretimin durdurulmasına sebep olan WannaCry, sadece Sayama tesislerinin değil bu sene sistemlerinde güncelleme yapmak isteyen Kuzey Amerika, Çin, İngiltere, Fransa, Hindistan ve Avrupa bölgelerindeki fabrikalarının da saldırından etkilendiği duyurdu.
Sayama’da yer alan fabrikalar içerisinden etkilenen sadece Honda’nın üretim tesisiymiş gibi gözükse de Renault ve Nissan’ın da geçtiğimiz ay WannaCry’dan aynı şekilde etkilendiği öğrenildi.

1.5 Milyar Hassas Dosya İnternette!

Güvenlik araştırmacıları açık kaynak kodlu bir internet sitesinde tıbbi taramalardan patent uygulamarına, kadar 1.5 milyar civarında çevrimiçi dosyanın görünür halde olduğunu belirtti.  
Açıkta kalan verilerin büyük çoğunluğunu kredi kartı, bordo ve vergi iadesi dosyalarının oluşturduğu belgelerde 2.2 milyon vücut taramasının da incelemeye açık olduğu gözlendi.
Verilerin yaklaşık %7’si yanlış yapılandırılmış Amazon bulut servisi işlem depolama alanında yer alıyor. 
Sorunlu dosyalardan en çok etkilenen ülke, %23 ile Amerika oldu. 
Korumasız olarak internette bulunan bu dosyalar, Panama Papers belgelerinden 4bin kat daha büyük ve 12 petabayt boyutunda.

20 Milyon Kullanıcı, Tehlike Altında!

Google Chrome için geliştirilen ve içinde zararlı yazılım barındıran 5 adet sahte eklenti, 20 milyon kişi tarafından indirildikten sonra Google tarafından kaldırıldı.
Google, AdRemover for Google Chrome, uBlock Plus, Adblock Pro, HD for YouTube, Webutation isimli uygulamaları mağazasından kaldırarak zararlı eklentinin daha fazla kişiye yayılmasını engelledi.
AdRemover for Google Chrome eklentisi 10 milyondan fazla kişi tarafından indirildi.


Fidye Virüsü, Ukrayna Enerji Bakanlığı'nı Vurdu!

Ukrayna, siber saldırılardan etkilenmeye devam ediyor. Geçtiğimiz senelerde de siber saldırıların hedefinde olan Ukrayna Enerji Bakanlığı’nı, bu sefer de websitesinin hacklendiğini açıkladı.
Ukrayna Enerji Bakanlığı’nın sitesini hackleyen hacker’lar 0.1 bitcoin talep ettiler. Saldırıda diğer hükümet sistemlerinin veya ülkenin devlet enerji şirketlerini etkilemediği açıklandı.

Fidye Virüsleri Kılık Değiştiriyor!

2016 yılında adından sıkça bahsettiren, 2017 yılında WannaCry ve NotPetya saldırıları ile hafızalarımıza kazınan fidye virüsleri saldırıları bulunduğumuz yıl içerisinde sessizliğini korurken uzmanlar, hacker’ların yeni saldırılar üzerinde çalıştıklarını belirtti.
Indiana’da bir hastanenin ve Atlanta’da devlete ait birçok bilgisayar sisteminin SamSam saldırısından etkilenmesi, WannaCry’ın hala etkilerinin gözükmesi bazı fidye yazılımı ailelerinin sürekli kullanılacağını ve geliştirileceğini gösteriyor.
Kripto para madenciliğindeki yükseliş, fidye virüsü saldırılarının önüne geçse de kurumlara yönelik yapılan fidye virüsü saldırılarında artış söz konusu.


Hacker’lar Otel Odamızda!

Tomi Tuominen ve Timo Hirvonen isimli iki hacker İsveç’li kilit üreticisi Assa Abloy’un geliştirdiği ve 166 ülkede 42.000’den fazla tesiste kullanılan kilit sistemini “master key” ismini verdikleri anahtar ile açmayı başardılar. 
Hacker’lar özel bir yazılıma sahip mini bilgisayarla kablosuz radyo frekansının tanımlanıp manyetik karttan veri çalabildiklerini açıkladı.
Geçtiğimiz sene benzer bir olay Avustralya'da yaşanmış ve 4 yıldızlı Romantik Seehotel Jäegerwirt adındaki otelin sistemi hackerlarca ele geçirilmişti. Bilgi işlemdeki bir bilgisayara fidye virüsü bulaştıran bilgisayar korsanları, müşterilerin odalarında kilitli kalmasına neden olmuştu. 

Outlook’taki Açık, Bilgisayarınızın Ele Geçirilmesi İçin Yeterli!

CERT Koordinasyon Merkezi’nden Will Dorman RTF‘li (Zengin Metin Formatı) e-posta açıldığında OLE sayesinde SMB bağlantısını otomatik olarak başlatan bir güvenlik açığı tespit etti.
Saldırgan, kendisinin oluşturduğu bir SMB sunucusu üzerinden yükleme yapan, içerisinde OLE bağlantısı yer alan RTF dosyasını e-posta olarak kurbana gönderdiğinde bu güvenlik açığından yararlanabiliyor.
Cert koordinasyon Merkezi “ Bu saldırı, kullanıcının IP adresini, alan adını, kullanıcı adını, ana makine adını ve parola hash’ini sızdırıyor olabilir. Kullanıcının parolası yeterince karmaşık değil ise saldırgan kullanıcı parolasını kısa sürede çözülebilir.” açıklamasını yaptı.
  • Henüz yapmadıysanız CVE-2018-0950 Microsoft güncellemesinin yapınız. 
  • Gelen ve giden SMB için kullanılan portları (445/tcp, 137/tcp, 139/tcp, 137/udp ve 139/udp) engelleyin.
  • NTLM Single Sign-on kimlik doğrulamasını engelleyin.
  • Karmaşık parolaları kullanın. Böylece parola hash’leriniz çalınsa bile kolayca kırılamazlar.

Android Cihazlar Monero Madenciliğinde Kullanılıyor!

Android Nougat ve sonraki sürümler dışındaki işletim sistemlerindeki bir açıktan yararlanan kötü amaçlı bir yazılım, Android işletim sistemli akıllı cihazların CPU’larını Monero madenciliği için kullanıyor.
Zararlı yazılım, cihaz yöneticisi özelliğinin kaldırılmasını önlemek için, kullanıcı bu işlemi yapmak istediğinde cihazın ekranını kilitleyerek parola soruyor.
Daha önce cihazların bataryalarını patlatan Loapi Monero’ya benzetilen zararlı yazılım Hindistan ve Çin’de birçok kullanıcıyı etkilemiş durumda. Bugüne kadar HiddenMiner yazılımı ile birlikte 5.360 Dolarlık  bitcoin üretildi.


Android Remote Trojan

Android işletim sistemindeki bir güvenlik açığından yararlanan kötü amaçlı bir yazılım ile birçok bilgi çalınabilir hale geldi.
Sisteme sızmak için gömülü bir Microsoft denklem nesnesini kullanarak, Office’teki CVE-2017-11882 güvenlik açığından yararlanmaya çalışan RTF dosyası, bitcoin ve Çin hakkında bilgi veren Korece azılmış bir belgeden oluşuyor.
KevDroid ismi verilen bu zararlının ilk versiyonu yüklü uygulamalar, telefon numarası, telefonun benzersiz kimliği, konum, kayıtlı rehber bilgileri, depolanmış SMS, arama kayıtları, kayıtlı e-postalar ve fotoğraflar gibi bilgileri toplayabiliyor.
Uzmanlar, büyük bir KevDroid saldırısının siber casusluğa yol açabileceğini söylüyorlar.
İsrail’in Ben Gurion Üniversitesi’nde yer alan araştırmacılar geçtiğimiz senelerde bir bilgisayardan ışık, ses, ısı, elektromanyetik, manyetik ve ultrasonik dalgalar yoluyla veri çalmak için çeşitli bant dışı iletişim yöntemlerini denemişti. Geçtiğimiz hafta ise akım hattındaki dalgalanmaları kullanarak bilgisayarların CPU kullanımını kontrol etmeyi başardıklarını açıkladılar.
 

Son Zamanarda En Çok Görülen 5 Popüler Zararlı

CryptoLoot: Kurbanlarının CPU ve GPU gücünü kripto para madenciliği için kullanan, kullanıcı bilgisi olmadan bilgisayarlara yüklenen zararlı yazılım.

RoughTed: Kötü amaçlı web siteleri, adware, exploit kitleri ve fidye yazılımları dağıtmak ve işletim sistemine saldırmak için kullanılır.

Fireball: Kullanıcıların kimlik bilgilerini çalmaktan, cihazlarına başka zararlı yazılım indirmeye ve arama motorlarını sahte arama motorlarına dönüştürerek web trafiğini kontrol edip reklam geliri elde etmek için manipüle eden zararlı yazılım.

LokiBot: Özellikle popüler bankacılık uygulamalarının arayüzlerini kopyalayarak kullanıcıların bilgilerini çalan, fark edilip yönetici izinleri kaldırıldığında fidye virüsüne dönüşerek mobil cihazı şifreleyip fidye talep eden Android işletim sistemli cihazlarda gözüken zararlı.

Triada: Android işletim sisteminde yer alan, root haklarını kullanarak, sistem dosyalarıyla yer değiştiren modüler bir Trojandır. Genellikle cihazın RAM’inde bulunur ve önce sistem hakkında bilgi toplar. En büyük özelliği ise SMS’leri kontrol ederek gelenleri filtreleyebilmesi.

02 Nisan 2018

Siber Güvenlik Bülteni- Mart 2018

Cryptojacking, Ransomware'in Tahtına Oturdu!

Cryptojacking
saldırıları, kripto para birimi değerlerindeki ani artış ile birlikte 2017 yılında %8500 seviyelerine ulaştı.

Siber suçlular, madencilik işlemleri için kullanıcıların hem mobil hem de pc tarafında CPU’larını kullanarak kendilerine büyük bir gelir elde ederken, kurbanların cihazlarının da yavaşlamasına, bataryalarının ısınmasına hatta bazı kurumsal kuruluşların şirket ağlarını büyük bir risk ile karşı karşıya bırakıyorlar.


2017 yılında genel IoT saldırılarında görülen %600’lük artış, fidye taleplerinin önceki yılın ortalamasının yarısından daha düşük olması, fidye yazılımı ailelerinin sayısının düşmesi ve fidye yazılımlarının aşırı pahalı olması, gibi birçok veri yan yana geldiğinde Ransomware’lerin azaldığını görüyoruz.

Cryptojacking saldırılarının popüler olmasının bir diğer sebebi ise, sadece birkaç satırlık kod işlemine ihtiyaç duyulması gösteriliyor..

MyFitnessPal Tarihe Geçti!

Spor giyim firması Under Armour’un sağlık takip uygulaması MyFitnessPal hacker’ların son kurbanlarından oldu. 150 milyon kullanıcıya ait hesap, e-posta ve şifrelerin çalındığı saldırı şimdilik 2018’in en büyük veri hırsızlığı sırasında ilk sıraya, tüm veri hırsızlıkları içinde ise ilk 5’e girerek tarihe geçti. 


Veri hırsızlığı listesinin başında, 3 milyar kullanıcının bilgilerini çaldıran Yahoo bulunuyor.

Atlanta Hükümet Sistemleri Tehlikede!

ABD’de Atlanta ve Georgia şehirlerindeki devlete ait bilgisayar sistemlerini şifreleyerek devre dışı bırakan hacker’lar, sistemleri geri teslim etmek ve onarmak karşılığında 51 bin Dolar değerinde bitcoin talep etti.


Bazı şehir ve 911 acil durum sistemlerini kapatan saldırı sonunda Atlanta Havaalanı’ndaki Wi-fi de güvenlik gerekçesiyle kapatıldı.

Rusya’nın parmağı Amerikan Enerji Sistemlerinde

New York Times gazetesinin haberine göre Rus hacker’lar Amerika’daki bazı nükleer santraller ile su ve elektrik şebekelerine sızarak gelecek siyasi bir emir ile şalterleri indirerek enerji santrallerini işlemez hale getirebileceklerini söyledi.


2015 ve 2016 yılında 200 binden fazla Ukrayna’lıyı karanlıkta bırakan Rus’ların, ABD ve Avrupa’ya karşı böyle bir hamleyi yapıp yapmayacağı henüz bilinmese de Washington’un 2015 yılında imzaladığı nükleer antlaşmadan önce İran’ın nükleer santral alt yapısına sızdığı ve herhangi bir tehdit ile karşılaştığında kontrol sistemlerini devre dışı bırakabilecekleri iddia ediliyor.

Linux Sunucuları Monero Madenciliği için Kullanıldı

Hacker’lar sistem yöneticilerinin ağ etkinliğini görselleştirmek için kullandıkları Cacti’nin Network Weathermap eklentisindeki CVE-2013-2618 güvenlik açığından yararlanarak Linux sunucularını Monero madenciliği için kullanıp yaklaşık 75.000 Dolar kazandı.


Kullanıcıların CPU kaynaklarını kullanarak madencilik yapan diğer yazılımlara göre daha akıllı olan bu sistem, her 3 dakikada sistemleri kontrol ederek hangi sistemin açık hangi sistemin kapalı olduğunu gözlemliyor.

Saldırıda kullanılan kaynakların %4’ü Türkiye’de bulunuyor.

Facebook, Android Telefonlardaki Arama ve Mesajlaşmaları Kaydetmekle Suçlanıyor!

“Kullanıcı verilerini şirketlere satmak" ve "bu verilerin usulsüz kullanımını denetlememek" ile suçlanan sosyal medya devi Facebook, bu kez de telefonlarına Facebook uygulaması yükleyen kişilerin "cep telefonu konuşmalarını ve kısa mesaj kayıtlarını tutmak" ile suçlanıyor.

Facebook hesabını kapatmak isteyen bir kişi, hesap verilerini bilgisayara indirdikten sonra Ocak 2016- Temmuz 2017 dönemindeki tüm telefon ve sms görüşmelerinin meta verisinin bulunduğunu, görüşmelerin ne zaman yapıldığı ve ne kadar sürdüğü gibi detayların da Facebook’tan indirdiği dosyalarda yer aldığını farketti. 


Detaylı telefon görüşmeleri Android işletim sistemini kullanan telefonlardan Facebook’a yüklenmiş durumda. IOS işletim sistemi kullanan telefonlardan aynı veriler çekilebilmiş değil.

Facebook yönetimi konu ile alakalı olarak "Mesajlaşma uygulamalarının en önemli özelliklerinden birisi de bağlantı kurmak istediğiniz kişileri kolaylıkla bulabilmenizdir. Bu nedenle telefonunuzla bir sosyal medya ya da mesajlaşma uygulamasına giriş yaptığınızda telefon rehberiniz hizmet sağlayıcının sunucularına yüklenir. Bu yaygın olarak kullanılan bir uygulamadır" açıklamasında bulundu.

21 Kasım 2017

BankBot Yeniden Canlandı

İlk kez 2017 yılının başlarında görülen zararlı yazılım, anlaşılır anlaşılmaz Google Play Store’dan tamamen arındırılmıştı. Ancak yapılan araştırmalarda, BankBot zararlı yazılımının yeni versiyonunun, Google’ın otomatik algoritmasının tespit edemeyeceği şekilde tasarlandığını ve Tornado FlashLight, Lamp for Darkness, Sea Flashlight, Klasik Solitaire ve Örümcek Solitaire gibi uygulamaların içine sızdırılarak binlerce kişiyi yeniden mağdur etti.

El feneri ve Solitaire uygulamalarından yayılan BankBot isimli zararlı yazılımın, Google Play Store’da yapılan bir araştırma sonucunda yeniden canlandığı ve Türkiye dahil bir çok ülkede kullanıcıları mağdur ettiği ortaya çıktı.



BankBot ismi verilen zararlı yazılım, Wells Fargo, Chase, Citibank, Credit Agricole, Santander ve Commerzbank gibi ünlü bankaların da yer aldığı 160 mobil banka uygulamasından 132’si üzerinde etkili olduğu görüldü. 132 uygulamanın içinde Türk bankalarına ait 16 adet mobil banka uygulaması da bulunuyor.

Zararlı yazılım ayrıca, iki faktörlü kimlik doğrulama sistemlerini engelleyebilecek şekilde kısa mesajlar da atabiliyor.

Nasıl Çalışıyor?

BankBot, önceki versiyonlarında telefon üzerinden film izlemek isteyenleri sahte bir flash uygulamasına yönlendirerek zararlı yazılım yükletiyordu. Yeni versiyonunda ise, ayarlanmış gecikme ile tetiklenerek içine sızdığı uygulama veya oyun indirilip açıldıktan 20 dakika sonra devreye giriyor.

Zararlı yazılımdan etkilenen cihaz, oyundan bağımsız olarak Google Hizmeti isimli öğenin etkinleştirilmesini talep ediyor.

Sahte Google Hizmeti onaylandıktan sonra zararlı yazılım devreye girerek birkaç işlem gerçekleştiriyor

  • BankBot’u yükleyip başlatıyor.
  • BankBot için cihaz yöneticisini etkinleştiriyor.
  • BankBot, varsayılan SMS uygulaması olarak ayarlanıyor.
  • Diğer uygulamaları iptal etme izni alıyor.

BankNot ismi verilen zararlı yazılım, mobil cihazınıza yüklendikten sonra ilk iş olarak sahip olduğunuz mobil banka uygulamalarını kontrol ediyor.

Uygulamayı açtıktan sonra bankaların uygulamalarına entegre olarak karşınıza sahte bir banka ara yüzü çıkıyor.

BankBot, kendisini varsayılan SMS uygulaması olarak ayarladığı için cihazdan geçen tüm SMS akışına erişebiliyor ve böylece 2 faktörlü kimlik doğrulamasını atlatabiliyor.

Nasıl Korunurum?

  • Bilinmeyen kaynaklar tarafından kötü amaçlı bir uygulama yüklenmesine kesinlikle izin vermeyin
  • Mobil cihazlarınızı korumak için mobil antivirüs kullanmayı ihmal etmeyin
  • Bilinmeyen uygulamalara asla tıklamayın
  • Uygulamalara yönetici izni vermeyin
  • Mobil yedeklemelerinizi sık sık yapın
  • Daima doğrulanmış uygulamaları indirin


09 Haziran 2017

Çin'li WannaCry Android'e Bulaştı

WannaCry’ın popülaritesi, benzer yazılımlar hazırlamak isteyenlere ilham kaynağı olmuş olacak ki, Çin’de yayılmaya başlayan WannaLocker isimli yeni bir ransomware, Android cihazları hedef alarak zarar vermeye başladı.

Çin oyun forumlarından yayılmaya başlayan ve Çinliler arasında oldukça popüler olan King of Glory isimli oyuna eklenti olarak gelen WannaLocker, sisteme girdikten sonra önce duvar kağıdını bir anime görüntüsüne çeviriyor devamında ise dosyaları şifrelemeye başlıyor.



WannaLocker hacker’ları, Alipay ya da WeChat gibi ödeme sistemleri üzerinden yaklaşık olarak 6 dolara denk gelen 40 Çin Renminbi fidye talep ediyorlar. Uzmanlar tarafından yapılan açıklamada, fidyecilerin Bitcoin yerine normal para birimi şeklinde ödeme istemeleri, çabuk para kazanmaya çalıştıkları şeklinde yorumlandı. 

Dosyalarını şifrelemek için AES şifreleme yöntemi kullanan WannaLocker, şifrelenen dosyaların sonuna Çin ve Latin alfabesi karışımı karakterler ekliyor.

2014 yılında Android cihazlarda karşımıza çıkan Simplocker zararlısı, SD kartı da tarayarak jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4 uzantılı tüm dosyaları şifreleyerek yaklaşık olarak 10 dolarlık bir fidye istemişti. WannaLocker ise, “DCIM”, “download”, “madi”, “android” ve “com” içeren dosyalarla birlikte ismi “.” ile başlayan ve 10 kb’dan büyük dosyaları şifrelemiyor.

Geçtiğimiz haftalarda Fireball isimli malware yine Çin’liler tarafından piyasaya sürülmüş ve 250 milyondan fazla bilgisayarı zombi bilgisayar haline getirmişti.


Soru ve görüşlerinizi yorum bölümünden bildirebilir, siber güvenlik ile alakalı dünya üzerinde gerçekleşen önemli olayları derleyerek sizlerle paylaştığımız haftalık bültenimize aşağıdaki linke tıklayarak üye olabilirsiniz.


31 Mayıs 2017

Judy 36 Milyondan Fazla Android Cihaza Bela Oldu


Geçtiğimiz hafta araştırmacılar tarafından ortaya çıkarılan ve “Judy” ismi verilen malware, zarar verdiği 36 milyon Android cihaz ile bugüne kadar Google Play Store’daki en büyük tehdit olarak tarihe geçti.

Kore merkezli Kiniwini tarafından geliştirilen ve ENISTUDIO Corp ismi altında yayınlanan kötü amaçlı uygulamalar, sahte tıklamalar üreterek reklamlardan gelir elde etmek için Judy olarak adlandırılan kötü amaçlı bir reklam programı içeriyordu. Bu zamana kadar 41 uygulamada görülen Judy, arka planda izinsiz kaynak kullanarak reklam ve sahte tıklamalarla kota aşımına ve kullanıcılarda bir maliyet oluşturma dışında 
bulaştığı cihazlarda henüz bir probleme sebep olmadı.



Göze çarpan bir diğer ayrıntı ise, başka geliştiriciler tarafından Google Play Store’a yüklenen ve Nisan 2016’dan beri güncellenmeyen bazı uygulamalarda da Judy’ye rastlanılması oldu. 1 yıldan uzun süredir markette gizlenerek tehlike saçmaya devam eden bu yazılımların da 18 milyondan fazla kullanıcı tarafından indirildiği belirtildi.

Judy uygulamaları, kötü amaçlı kodu görünürde tutmadığından dolayı Google Play’in Bouncer koruma sistemini rahatlıkla geçebiliyor. Ön tarafta kendisine temiz kodlarla yazılmış bir uygulama görüntüsü vererek markete sızan Judy, kullanıcı tarafından indirildiğinde gizlice komut kontrol sunucu ile bir bağlantı kuruyor. Bağlantı kurduğu bu sunucu JavaScript kodlarını kullanarak malware’in tasarımcısına para kazandıracak olan banner ve reklamlara arka planda tıklamaya başlayarak amacını yerine getiriyor.


Uygulamaları indiren bazı kullanıcılar olumsuz değerlendirme ve yorum yaparak başkalarını uyarmaya çalışmış olsa da, hala yüksek puana sahipler. Bu da bizlere inceleme puanlarının her zaman güvenilir olamayacağının bir göstergesidir. 





Google, kötü amaçlı olan uygulamaları marketten kaldırdığını ve Bouncer güvenliğini güncellediğini açıkladı. Emin olmak için aşağıdaki listeden uygulamaların listesini kontrol edebilirsiniz.


  • Fashion Judy: Snow Queen style 
  • Animal Judy: Persian cat care 
  • Fashion Judy: Pretty rapper 
  • Fashion Judy: Teacher style 
  • Animal Judy: Dragon care 
  • Chef Judy: Halloween Cookies 
  • Fashion Judy: Wedding Party 
  • Animal Judy: Teddy Bear care 
  • Fashion Judy: Bunny Girl Style 
  • Fashion Judy: Frozen Princess 
  • Chef Judy: Triangular Kimbap 
  • Chef Judy: Udong Maker – Cook 
  • Fashion Judy: Uniform style 
  • Animal Judy: Rabbit care 
  • Fashion Judy: Vampire style 
  • Animal Judy: Nine-Tailed Fox 
  • Chef Judy: Jelly Maker – Cook 
  • Chef Judy: Chicken Maker 
  • Animal Judy: Sea otter care 
  • Animal Judy: Elephant care 
  • Judy’s Happy House 
  • Chef Judy: Hotdog Maker – Cook 
  • Chef Judy: Birthday Food Maker 
  • Fashion Judy: Wedding day 
  • Fashion Judy: Waitress style 
  • Chef Judy: Character Lunch 
  • Chef Judy: Picnic Lunch Maker 
  • Animal Judy: Rudolph care 
  • Judy’s Hospital: Pediatrics 
  • Fashion Judy: Country style 
  • Animal Judy: Feral Cat care 
  • Fashion Judy: Twice Style 
  • Fashion Judy: Myth Style 
  • Animal Judy: Fennec Fox care 
  • Animal Judy: Dog care 
  • Fashion Judy: Couple Style 
  • Animal Judy: Cat care 
  • Fashion Judy: Halloween style 
  • Fashion Judy: EXO Style 
  • Chef Judy: Dalgona Maker 
  • Chef Judy: ServiceStation Food 
  • Judy’s Spa Salon
Android, günümüzde en yaygın kullanılan ancak saldırılara karşı da fazlasıyla tehlikeye açık durumunda olan bir işletim sistemidir. Mobil cihazlarınızda güvenliğinizi sağlamak kullanıcı farkındalığı ile gerçekleşmektedir ve güvenliğinizi sağlamak için dikkat etmeniz gereken bazı hususlar şu şekildedir.

  • Uygulamaları, işletim sisteminizin resmi marketinden indirmeye özen gösterin.
  • Bir uygulamayı indirmeden önce, uygulamanın yasal ve güvenilir olduğundan mutlaka emin olun. 
  • Uygulamayı indirmeyi onaylamadan önce kişisel verilerinize ulaşma izni isteyip istemediğinden emin olun.
  • Mobil cihazlarınıza gelen güncellemeleri mutlaka indirin.
  • Bilmediğiniz yerlerden sms veya e-posta ile gelen linklere, ayrıca mobil sitelerdeki indirme butonlarına tıklamaktan kaçının. 
  • Mobil cihazlarınızı periyodik olarak virüs programı ile taramayı ve yedekleme yapmayı unutmayın.

Soru ve görüşlerinizi yorum bölümünden bildirebilir, siber güvenlik ile alakalı dünya üzerinde gerçekleşen önemli olayları derleyerek sizlerle paylaştığımız haftalık bültenimize aşağıdaki linke tıklayarak üye olabilirsiniz.

06 Şubat 2017

VPN Uygulamaları Sandığınız Kadar Masum Mu?

VPN, Virtual Private Network, internet üzerinden başka bir ağa bağlanmayı sağlayan bağlantı çeşididir. VPN bağlantısı yaptığınız servisin network’üne sanki oradaymış gibi bağlı olmak ve oradaki servisleri oradaymış gibi kullanmak diyebiliriz. 



Günümüzde, internette mobil olarak vakit geçirme süresi son yıllarda oldukça artmış durumda ve mobil uygulama endüstrisi de bu artışla beraber büyük gelişmelere imza atıyor. Ancak, Android’in geliştiricilerine oldukça geniş izinler veriyor olması, zaman zaman güvenlik problemlerinin yaşanmasına sebep oluyor. Bunun en büyük örneği ise geçtiğimiz günlerde ücretsiz VPN uygulamaları ile karşımıza çıktı. CSIRO (Commonwealth Scientific and Industrial Research Organisation) yönetiminde, New South Wales Üniversitesi ve Berkeley California Üniversitesi ekiplerince yapılan “Android VPN Uygulamalarının Gizlilik ve Güvenlik Risklerinin Analizi” raporuna göre, Android için geliştirilmiş 234 VPN uygulamasının %38'inde zararlı yazılıma rastlandı.



Ekibin 234 Android uygulamayı araştırarak edindikleri bazı bilgiler şu şekilde:

  • %18'i trafikte herhangi bir şifreleme uygulamıyor.
  • %84'ü kullanıcıların bilgilerini sızdırıyor.
  • 2/3'ü, üçüncü partilerin kütüphanelerini izliyor.
  • %38'i zararlı yazılım içeriyor
  • %80'den fazlası, kullanıcı hesapları veya kısa mesajlar gibi hassas verileri kullanma izni istiyor.
İnternet erişimi engellendiğinde ya da sınırlandırıldığında kullanıcıların yöneldiği VPN uygulamalarının kendilerine duyulan güveni istismar ettiği, gerekli güvenliği sağlamadığı, internet trafiğini bile şifrelemediği tespit edildi. Kullanıcılarına anonimlik sağlaması beklenen VPN servislerinde bulunan virüsler, kullanıcının özel bilgilerine ulaşmakla kalmıyor, SMS bile yollayabiliyor. Araştırma sonucunda en fazla zararlı yazılım bulunduran uygulamalar şu şekilde:

  • OkVpn
  • EasyVpn
  • SuperVPN
  • Beternet
  • CrossVpn
  • Archie VPN
  • HatVPN
  • sFly Network Booster
  • One Click
  • Fast Secure Payment

Listedeki OkVPn , EasyVpn, SuperVPN Google Play Store’dan kaldırıldı fakat tekrar isim değiştirerek mağazada yerini almaya devam ediyor. Bunun en büyük nedeni ise denetimlerin az, düzensiz ve bir uygulamayı markete koyarken basit denetimler uygulanıyor olması.


Yapılan araştırma sonrasında tehlikeli bulunan betternet isimli uygulama hala mağazada bulunuyor ve 5 milyondan fazla kişi tarafından kullanılmaya ve tehlike saçmaya devam ediyor. 


Uygulama indirildikten sonra dikkat etmeniz gereken en önemli kısım; sms yollama, arama yapma, galerinize ulaşma ya da kamera kullanma gibi özelliklere ulaşmak istiyor mu diye kontrol etmeniz olacaktır. Bu tarz izinler VPN uygulamaları açısından gereksiz ve güvenlik zafiyeti oluşturma potansiyeline sahiptir.



Popüler Yayınlar