Triada adı verilen Backdoorların (arka kapı) bazı Android cihazlara önceden yüklendiğini açıklayan Google, kısa bir süre önce bazı Android telefonların, akıllı telefon üreticileri tarafından müşterilere gönderilmeden önce kötü niyetli yazılımlardan etkilendiğini doğruladı. Backdoor kavramı kısaca, çeşitli senaryoları ve teknikleri kullanarak bir yazılım veya sistemde, normal giriş çıkış noktaları dışında bilerek veya bilmeyerek oluşturulan, sisteme veya yazılıma erişimin mümkün olduğu ya da sistemden veya yazılımdan veri çıkışının mümkün olduğu açık noktalar olarak tanımlanıyor. (1)

Bu konu hakkında detaylı bir çalışma yayınlayan Google, Triada’nın bilgisayar korsanları tarafından nasıl bazı Android cihazlara zekice yerleştirildiğini açıkladı. Önceden yüklenen yazılımın korsanlar tarafından ele geçirildiğini belirten Google, Triada’dan dolayı bazı Android cihazlara spam uygulamaları yüklendiğini ve bu uygulamaların cihazın reklamları görüntülemesini sağladığını açıkladı. Bu spam uygulamalar sayesinde Triada’nın yaratıcılarının reklamlardan büyük bir gelir elde ettiği de açıklamada belirtildi.

Techworm’un haberine göre, Triada, Android işletim sistemine sahip cihazların üretimi sırasında üçüncü parti aracılığıyla cihaz sistem görüntülerini bozabilen bir yapıya sahip. Bazen orijinal malzeme üreticileri müşterileri için yüz kilidi açma gibi aslında Android Açık Kaynak Projesi'nin bir parçası olmayan özellikler de eklemek istiyorlar. Bu çerçevede, orijinal malzeme üreticisi ise istenen özelliği geliştirebilecek ve bütün sistem görüntülerini bu satıcıya gönderebilecek bir üçüncü taraf ile geliştirme sürecinde ortak olabiliyor. Ancak bu süreç güvenlik açısından ciddi sonuçlar doğurabiliyor.

Truva atlarının “Triada” grubu ilk olarak, Kaspersky laboratuvarlarında çalışan güvenlik araştırmacıları tarafından keşfedildi. Konu hakkında Mart 2016’da Kaspersky’nin web sitesinde detaylı bir blog yazısı yayınlandı. Daha sonra ise Haziran 2016’da konunun devamı niteliğinde bir başka blog yazısına yer verildi.

Trioda Trojanı ilk olarak, hedef üzerinde yüksek ayrıcalıklara sahip olduktan sonra donanım üzerinden saldırı gerçekleştiren bir zararlı yazılım olarak kaydedilmişti. 2016 yılında Google, bu alanda yapılan çalışmalardan haberdar olduktan sonra Trioda trojanını bütün Android cihazlardan kaldırmak için “play protect” aracılığıyla Android kullanıcılarına bir hizmet sundu. Kaspersky’ye göre, Trojanlar genellikle meşru yazılım kılığındaki bir tür kötü amaçlı yazılım olarak tanımlanıyor. Buna ek olarak, bu zararlı yazılımlar kullanıcıların sistemlerine erişmeye çalışan siber hırsızlar ve korsanlar tarafından kullanılabiliyor. Kullanıcılar genellikle bir tür sosyal mühendislik tarafından kandırılarak Trojanları sistemlerine yüklüyor ve çalıştırıyorlar. (2)

Techworm’a göre, Google tarafından play protect aracılığıyla Triada’nın kaldırılmasından sonra, bu kötü amaçlı yazılımın arkasındaki kötü niyetli oyuncular alışılmadık yaklaşım benimsedi ve 2017 yılının yazında Truva'nın daha akıllı bir versiyonunu yayınlandı. Bu durum ise Temmuz 2017'de Antimalware üreticisi Dr. Web tarafından keşfedildi ve bu konuda bir blogyazısı yayınlandı.

Konu hakkında konuşan, Google Android güvenliği uzmanı, Siewierski “2017 yazında yeni Triada örneklerinde bir değişiklik olduğunu fark ettik” diye konuştu ve “önemli ayrıcalıklar elde etmek için cihazda kök kullanıcısı olmak yerine, Triada önceden kurulmuş bir Android çatısı arka kapısı haline geldi” notunu düştü.

Aynı zamanda Triada’da yapılan değişikliğin Android çatısı altında bulunan bir log fonksiyonu tarafından çağrılan ekstra bir koddan kaynaklandığını belirten Siewierski bu durumu biraz daha detaylandırarak log fonksiyonu üzerinde bir arka kapı bırakılarak, log metodu her çağrıldığında (telefondaki herhangi bir uygulama herhangi bir log tuttuğu zaman) bu ekstra kodun da çalıştırılmasının sağlandığını ifade etti. Uzmana göre, bu log girişimleri saniyede dahi birçok kez gerçekleştiği için ek kodun hiç durmadan çalışmasına sebep oluyor. Bu ek kod ayrıca uygulama bağlamında mesajların logunu tutmak için de çalıştırılıyor. Bu sebeple Triada herhangi bir uygulama bağlamında da kodları çalıştırabiliyor. Öte yandan, Triada'nın ilk sürümlerinin Marshmallow'dan önceki Android sürümlerini etkilemeyi başardığı da ifade ediliyor.

Bu konuda en çok endişe verici unsur ise Triada Trojanının standart yöntemler kullanılarak silinememesi. Dr. Web bu konu hakkında yayınladığı blog yazısında “bu Truva Atından kurtulmanın tek güvenli yolu temiz bir Android donanım yazılımı yüklemektir” diyerek uygulanması gereken yöntemden bahsetti.

Google orijinal ekipman üreticilerine, sistem görüntülerini, Triada gibi kötü amaçlı yazılımlara ve tüm Android cihazlardaki benzer tehditlere karşı tarayan “Build Test Suite” adı verilen otomatik bir sistem sunuyor. Ayrıca Google, bu üreticilerden bütün üçüncü parti kodlar için kendi ağlarındaki cihazların güvenlik incelemelerini detaylıca yapmalarını ve şüpheli herhangi bir hareketi tespit etmelerini istiyor.  Son olarak ise Google tedarik zinciri saldırılarını aramak için piyasada bulunan cihazları düzenli olarak değerlendireceklerini belirtiyor.

Kaynaklar: 

1. Techworm, “Google Confirms Some Android Devices Came Preinstalled With Backdoor”, Erişim: https://www.techworm.net/2019/06/google-android-backdoor.html
2. Lostar, “Backdoor”, Erişim: https://lostar.com.tr/2016/09/backdoor-arka-kapi.html
3. Kaspersky, “Truva Atı Virüsü Nedir?”, Erişim: https://www.kaspersky.com.tr/resource-center/threats/trojans