Trend Micro, siber güvenlik araştırmacıları olarak, endişe verici bir tedarik zinciri saldırısı keşfettik. Bu saldırıda, milyonlarca Android cihazının fabrikadan çıkmadan önce kötü amaçlı bilgi hırsızı yazılımlarına sahip olduğunu tespit ettik.
Bu saldırıdan etkilenen cihazlar çoğunlukla uygun fiyatlı akıllı telefonlar olmakla birlikte, akıllı saatler, akıllı TV’ler ve diğer akıllı cihazlar da zarar görmüş gibi görünmektedir.
Kıdemli Trend Micro araştırmacısı Fyodor Yarochkin ve meslektaşı Zhengyu Dong, Singapur’daki bir konferansta bu sorunu ele alarak kökeninin acımasız rekabet olduğunu vurguladı.
Akıllı telefon üreticileri, tüm bileşenleri kendi üretmiyor. Örneğin, ürün yazılımı, üçüncü taraf bir yazılım tedarikçisi tarafından sağlanabiliyor. Ancak cep telefonu ürün yazılımının fiyatı düştükçe, yazılım sağlayıcıları bu hizmet için para talep edemez hale geliyor.
Bu nedenle, Yarochkin’e göre ürünler “sessiz eklentiler” şeklinde istenmeyen ekstralarla birlikte geliyor. Trend Micro, kötü amaçlı yazılım arayışlarında onlarca ürün yazılımı ve 80 farklı eklentiden bahsediyor. Araştırmacılar, bazı eklentilerin daha geniş bir iş modelinin parçası olduğunu, karanlık web forumlarında satıldığını ve hatta ana akım sosyal medya platformlarında ve bloglarda pazarlandığını belirtiyor.
Bu eklentiler, cihazlardan hassas bilgileri ve SMS mesajlarını çalabilir, sosyal medya hesaplarının kontrolünü ele geçirebilir, cihazları reklam ve tıklama sahtekarlığı için kullanabilir, trafiği kötüye kullanabilir ve daha birçok kötü amaçlı eylemi gerçekleştirebilir. The Register, en ciddi sorunlardan birinin, beş dakikaya kadar bir cihazın tam kontrolünü ele geçirmesine ve onu bir çıkış noktası olarak kullanmasına izin veren bir eklenti olduğunu belirtmektedir.
Trend Micro’nun verileri, dünya genelinde dokuz milyona yakın cihazın bu tedarik zinciri saldırısından etkilendiğini ve çoğunun Güneydoğu Asya ve Doğu Avrupa’da bulunduğunu göstermektedir. Araştırmacılar, faillerin isimlerini vermek istemediklerini, ancak birkaç kez Çin’den bahsettiklerini belirtmekted