Siber Güvenlik

Mirax Android RAT: Telefonunuz Bir Proxy'ye Dönüşebilir

15 Nisan 20265 dk okuma

By Marcus Weber — CISSP certified, 12 years in cybersecurity journalism

Mirax Android RAT: Telefonunuz Bir Proxy'ye Dönüşebilir

Yeni Bir Android Kötü Amaçlı Yazılımı Telefonunuzu Proxy Olarak Kullanıyor

Siber güvenlik araştırmacıları, Mirax Android RAT adlı gelişmiş yeni bir tehdit keşfetti. Bu Uzaktan Erişim Truva Atı, Facebook ve Instagram dahil Meta platformlarında yayınlanan reklamlar aracılığıyla sessiz sedasız 220.000'den fazla kullanıcıya ulaştı. Mirax'ı özellikle dikkat çekici kılan yalnızca boyutu değil, kurulduktan sonra yaptıkları: virüs bulaşmış Android cihazları bir SOCKS5 proxy ağındaki düğümlere dönüştürerek sıradan akıllı telefonları suç amaçlı internet trafiğini yönlendiren araçlara çeviriyor.

Daha önce bir mobil reklama tıklayıp resmi Google Play Store dışında bir uygulama yüklemeniz istenmiş olsaydı, bu tehdit sizin için son derece önemlidir.

SOCKS5 Proxy Botnet Nedir ve Suçlular Neden Bu Ağları Oluşturur?

Mirax'ın neden tehlikeli olduğunu anlamak için SOCKS5 proxy'lerinin ne olduğunu ve siber suçlular için neden değerli olduklarını anlamak gerekir.

SOCKS5 proxy, ağ trafiğini bir aracı cihaz üzerinden yönlendiren bir internet aktarma türüdür. Meşru kullanım alanları da mevcuttur: işletmeler ağ yönetimi için proxy kullanırken, gizliliğe önem veren kullanıcılar zaman zaman IP adreslerini gizlemek amacıyla trafiklerini güvenilir sunucular üzerinden yönlendirir. SOCKS5, esnek ve hızlı yapısıyla hem meşru hem de kötü amaçlı kullanımlar için cazip hale gelir.

Ancak suçlular, proxy ağlarına belirli bir nedenle değer verir: anonimlik. Saldırganlar faaliyetlerini binlerce ele geçirilmiş akıllı telefon üzerinden yönlendirdiğinde, gerçek konum ve kimlikleri neredeyse izlenemez hale gelir. Her virüslü cihaz bir basamak taşı işlevi görür. Bir siber saldırının izini süren araştırmacılar, gerçek saldırganı değil, başka bir ülkedeki masum bir kişinin telefonuna ulaşabilir.

Bu durum aynı zamanda botnet tabanlı proxy ağlarının suç pazarlarında neden ticari değer taşıdığını da açıklar. Operatörler bu ağlara erişimi kiralayarak diğer kötü niyetli aktörlere, güvenlik sistemleri tarafından genellikle işaretlenen veri merkezi sunucularından çok daha meşru görünen, dağıtık ve sürekli yenilenen bir konut IP adresi havuzu sunabilir.

Mirax RAT, tam olarak bu tür bir altyapı oluşturmak için tasarlanmış gibi görünmekte olup aynı zamanda virüs bulaşmış cihazlardan kişisel verileri de çalmaktadır.

Mirax, Meta Reklamcılığı Üzerinden Nasıl Yayılıyor?

Mirax'ın yayılma mekanizması, çoğu kullanıcının artık kanıksadığı bir şeyi istismar ettiğinden dikkatle incelemeye değer: sosyal medya reklamları.

Araştırmacılar, Mirax'ın 220.000'den fazla kurbanına Meta platformlarında yayınlanan kötü amaçlı reklamlar aracılığıyla ulaştığını tespit etti. Bu reklamlar, kullanıcıları büyük olasılıkla "sideloading" olarak bilinen bir yöntemle uygulamaları resmi uygulama mağazaları dışından indirmeye yönlendirdi. Android'in açık mimarisi, kullanıcıların üçüncü taraf kaynaklardan uygulama yüklemesine olanak tanır; bu özellik kötü amaçlı yazılım dağıtıcıları tarafından sürekli olarak istismar edilmektedir.

Kötü amaçlı yazılım dağıtmak için ücretli reklamcılığın kullanılması, siber suçluların çalışma biçimindeki daha geniş bir dönüşümü yansıtmaktadır. Tehdit aktörleri artık yalnızca kimlik avı e-postalarına veya ele geçirilmiş web sitelerine güvenmek yerine, geniş kitlelere hızlı ve ikna edici biçimde ulaşmak için meşru reklam altyapısına yatırım yapmaktadır. Özenle hazırlanmış bir reklam, özellikle arkadaşlardan ve aileden gelen içeriklerle birlikte göründüğünde güvenilir görünebilir.

Meta, kötü amaçlı reklamları tespit etmek ve kaldırmak için sistemlere sahip olsa da reklam platformunun büyüklüğü, bazı kampanyaların yakalanmadan önce kaçınılmaz olarak sızmaya devam ettiği anlamına gelmektedir.

Bu Sizin İçin Ne Anlama Geliyor?

Android cihaz kullanıyor ve sosyal medya reklamlarıyla düzenli olarak etkileşime giriyorsanız, Mirax kampanyası birkaç pratik riskin doğrudan bir hatırlatıcısıdır.

Birincisi, cihazınız siz farkında olmadan ele geçirilebilir ve suç faaliyetlerini kolaylaştırmak amacıyla kullanılabilir. Bir botnet'in parçası olmak mutlaka belirgin belirtilere yol açmaz. Telefonunuz biraz daha ısınabilir ya da pil ömrü daha hızlı tükenebilir; ancak pek çok kullanıcı bu belirtileri fark etmeyebilir ya da başka bir şeye bağlayabilir.

İkincisi, suç amaçlı proxy ağlarının hizmet ettiği hedefler, yani trafiği gizlemek ve çevrimiçi kimliği saklamak, tüketicilerin VPN'ler ve gizlilik araçları aracılığıyla meşru biçimde aradığı hedeflerin aynısıdır. Kritik fark, rıza ve güvenliktir. Meşru bir VPN, kendi trafiğinizi seçtiğiniz güvenilir ve şifreli bir sunucu üzerinden yönlendirir. Bir botnet ise başkasının suç trafiğini, sizi olası hukuki soruşturmalara maruz bırakarak ve bant genişliğinizle verinizi tüketerek bilginiz olmadan cihazınız üzerinden yönlendirir.

Üçüncüsü, sosyal medya platformlarında uygulamalara yönelik reklamlarla karşılaşmak, o uygulamaları güvenli kılmaz. Bir reklamın kaynağı, reklamı yapılanın meşruiyetini garanti etmez.

Android Cihazınızı Korumak İçin Uygulanabilir Adımlar

Mirax gibi tehditlere karşı kendinizi korumak teknik uzmanlık gerektirmez; ancak tutarlı alışkanlıklar gerektirir.

Yalnızca Google Play Store'dan uygulama yükleyin. Reklamların, mesajlardaki bağlantıların veya üçüncü taraf web sitelerinin yönlendirdiği uygulamaları ne kadar meşru görünseler de sideloading yöntemiyle yüklemekten kaçının.
Uygulama izinlerini dikkatlice inceleyin. Bir el feneri uygulamasının kişilerinize erişmesi veya arka planda ağ hizmetleri çalıştırması gerekmez. Aşırı izin talepleri bir uyarı işaretidir.
İşletim sisteminizi ve uygulamalarınızı güncel tutun. Güvenlik yamaları, kötü amaçlı yazılımların istismar ettiği güvenlik açıklarını kapatır.
Güvenilir mobil güvenlik yazılımı kullanın. Saygın güvenlik uygulamaları, bilinen kötü amaçlı yazılım ailelerini tespit edebilir ve şüpheli davranışları işaretleyebilir.
Uygulama indirmeyi teşvik eden mobil reklamlara şüpheyle yaklaşın. Bir reklam sizi bir yüklemeye yönlendiriyorsa, devam etmeden önce uygulamayı resmi kanallar aracılığıyla doğrulayın.
Veri kullanımınızı takip edin. Arka plan veri tüketimindeki açıklanamayan ani artışlar, cihazınızın izin vermediğiniz amaçlar için kullanıldığına işaret edebilir.

Mirax Android RAT, suç operasyonlarının günlük dijital alışkanlıkları büyük ölçekte istismar edecek kadar nasıl olgunlaştığının açık bir örneğidir. Bu saldırıların nasıl işlediğini anlamak, cihazınızın, verilerinizin ve internet bağlantınızın gerçek anlamda size ait kalmasını sağlayacak seçimler yapmanın ilk adımıdır.

// SSS

Mirax Android RAT nedir?

Mirax, virüs bulaşmış akıllı telefonları bir SOCKS5 proxy ağındaki düğümlere dönüştüren, Android cihazları hedef alan bir Uzaktan Erişim Truva Atı'dır. Facebook ve Instagram dahil Meta platformlarındaki kötü amaçlı reklamlar aracılığıyla 220.000'den fazla kullanıcıya ulaşmıştır.

Mirax kurbanlara nasıl yayılıyor?

Mirax, kullanıcıları resmi Google Play Store dışından uygulama indirmeye yönlendiren Meta platformlarındaki kötü amaçlı reklamlar aracılığıyla yayılır; bu yöntem "sideloading" olarak bilinir. Android'in açık mimarisi bu tür üçüncü taraf uygulama yüklemelerine olanak tanır ve kötü amaçlı yazılım dağıtıcıları bunu istismar eder.

Mirax bir cihaza bulaştıktan sonra ne yapar?

Mirax kurulduktan sonra virüs bulaşmış Android cihazı bir SOCKS5 proxy ağındaki düğüme dönüştürerek suç amaçlı internet trafiğini kurbanın telefonu üzerinden yönlendirir. Ayrıca virüs bulaşmış cihazlardan kişisel verileri de çalar.

Suçlular neden Mirax'ın oluşturduğu gibi proxy ağları kurmak ister?

Suçlular anonimliklerini korumak için proxy ağlarını kullanır; binlerce ele geçirilmiş akıllı telefon üzerinden faaliyet yürütmek, gerçek konumlarının tespit edilmesini neredeyse imkânsız kılar. Ayrıca bu ağlara erişimi kiralayarak diğer kötü niyetli aktörlere, güvenlik sistemlerine meşru görünen bir konut IP adresi havuzu sunabilirler.

Mirax Android RAT'tan kimler risk altında?

Android cihaz kullanan ve resmi Google Play Store dışında bir uygulama yüklemesini isteyen bir mobil reklama tıklamış olan herkes potansiyel risk altındadır. Kötü amaçlı yazılım, özellikle üçüncü taraf kaynaklardan sideloading yöntemiyle uygulama yükleyen kullanıcıları hedef almaktadır.