Son zamanlarda, siber güvenlik araştırmacıları, 60.000’den fazla Android uygulamasının son altı ay boyunca gizlice gerçek yazılım olarak gizlendiğini ortaya çıkardı.
Bu kötü amaçlı uygulamaların, tespit edilmeden, şüphelenmeyen mobil cihazlara gizlice reklam yazılımları yerleştirdiği tespit edildi.
.png
)
Bitdefender, yalnızca bir ay önce Bitdefender Mobile Security yazılımına entegre edilen bir anormallik algılama özelliğini kullanarak kötü amaçlı uygulamaları etkili bir şekilde tespit etti.
Dağıtım
Ekim 2022’de başladığından şüphelenilen bu kampanyanın dağıtımı, aşağıdakiler de dahil olmak üzere çeşitli biçimler alıyor:-
- Sahte güvenlik yazılımı
- Sahte oyun crackleri
- Sahte hileler
- Sahte VPN yazılımı
- Sahte Netflix
- Üçüncü taraf sitelerdeki sahte yardımcı program uygulamaları
- Sahte öğreticiler
- Reklamsız YouTube/TikTok
- Sahte videolar
Kötü amaçlı yazılım, kullanıcılar uygulamaları, modları, crack’leri ve ilgili materyalleri aradığında stratejik olarak ortaya çıkıyor ve organik bir dağıtım modelini kolaylaştırıyor.
Özellikle, modifiye edilmiş uygulamalar için büyüyen ve kârlı bir pazar, tamamen bu cazip koleksiyonları sunmaya adanmış özel web sitelerine yol açmaktadır.
Bu kötü amaçlı yazılım kampanyası, aşağıdaki ülkelerden kullanıcıları hedef aldı:-
- Birleşik Devletler
- Güney Kore
- Brezilya
- Almanya
- Birleşik Krallık
- Fransa
Modlanmış uygulamaların birincil özü, orijinal uygulamaları değiştirebilme, işlevlerine tam erişim sağlama veya programlanmış değişiklikler sunabilme yeteneklerinde yatmaktadır.
Yüklendi ve Tespitten Gizlice Kaçın
Google Arama aracılığıyla keşfedilen ve kullanıcıları APK’larla cezbeden üçüncü taraf web sitelerinde bulunmayı tercih ettikleri için Google Play, kötü amaçlı uygulamaların pençelerinden uzak kalır.
Bu sitelere göz atarken, reklamları gösteren web sitelerine yönlendirilmeyi bekleyin veya sizi istenen uygulamayı indirmeye teşvik eden uyarılarla karşılaşın.
Bitdefender raporuna göre, Bu indirme platformları, kurulum sırasında Android cihazlara reklam yazılımı bulaştırabilen, kötü amaçlı kod gömülü Android uygulamaları için dağıtım merkezleri olarak işlev görecek şekilde özel olarak tasarlanmıştır.
Ek ayrıcalıklardan kaçınmak için uygulama, kurulumdan sonra otomatik yürütmeyi başlatmak üzere kendi kendini yapılandırmaz.
Bunun yerine, tamamen Android uygulamasının normal kurulum prosedürüne bağlıdır ve kullanıcılardan kurulumdan sonra uygulamayı manuel olarak ‘Açmalarını’ ister.
Ayrıca, bu uygulamalar kasıtlı olarak bir simgeden kaçınır ve uygulamanın etiketine akıllıca bir UTF-8 karakteri ekleyerek gizlenmelerini yoğunlaştırır ve onları tanımlamayı daha zor hale getirir.
Bu durum ikili bir yapıya sahiptir, çünkü bir kullanıcı uygulamayı yükleme sonrasında başlatmayı yoksayarsa, uygulamanın daha sonra başlatılma olasılığının düştüğünü gösterir.
Uygulama başlatıldıktan sonra derhal bir hata mesajı oluşturarak kullanıcıya aşağıdaki bildirimi gönderir: –
“Uygulamaya bölgenizde erişilemiyor. Kaldırmak için Tamam’a dokunun.”
Görünüşe rağmen, uygulama kendi kendine kaldırılmaz; bunun yerine, iki saat boyunca etkin olmayan bir aşamaya girer ve bu süre zarfında, cihazın başlatılması veya kilidinin açılması üzerine başlatılmasını tetikleyen iki “niyeti” kaydeder.
Dağıtımın ardından uygulama, saldırganın kontrolü altındaki sunuculara bir bağlantı kuracaktır. Bu sunuculardan, aşağıdakiler içinde gösterilecek olan reklam URL’lerini almaya başlayacaktır: –
- Mobil tarayıcı
- Tam ekran WebView reklamı
Kötü amaçlı uygulamaların birincil işlevi şu anda reklam göstermek olsa da, araştırmacılar, tehdit aktörlerinin reklam yazılımı URL’lerini daha tehdit edici nitelikteki web siteleriyle kolayca değiştirebileceği konusunda uyarıyor.
İş E-postanızı Hedefleyen Gelişmiş E-posta Tehditlerini Durdurun – Yapay Zeka Destekli E-posta Güvenliğini Deneyin
Kötü Amaçlı Etki Alanları Algılandı
Aşağıda, tespit edilen tüm kötü amaçlı alanlardan bahsettik: –
- Konkfan[.]iletişim
- behor[.]iletişim
- vurgu[.]iletişim
- kenudo.net
- ehojam[.]iletişim
- adc-ad-assets.adtilt[.]iletişim
- adc3-launch.adcolony[.]iletişim
- adservice.google[.]iletişim
- açık artırma yükü.unityads.unity3d[.]iletişim
- yapılandırma.unityads.unity3d[.]iletişim
- googleads.g.doubleclick.net
- httpkafka.unityads.unity3d[.]iletişim
- pagead2.google sendikasyon[.]iletişim
- yayıncı-config.unityads.unity3d[.]iletişim
- WD.adcolony[.]iletişim
IOC’ler
Aşağıda IOC’lerden bahsetmiştik: –
- 53f3fbd3a816f556330d7a17bf27cd0d com.contec.aflwallpapers4k
- a8b18a67256618cf9dcd433a04448a5b com.deadsimpleapps.all
- 53406cc4b3ced24152860a7984d96dbf com.devindie.appfacil
- c1d312818d07cddb76d2bece7ad43908 book.com.ram.app
- 4df8c05d0e323c5aeeb18c61e3c782c6 com.alamincarectg.app
- d6e33f7b6ff314e2b61f54434a77e8f0 çıkartmalar.rusya2018
- 8ec0432424da16eb8053453f0ce0731a net.playtouch.connectanimalsok
- db9f921ccecdef6cd8fb7f5cb0a779d2 com.advfn. Android.ihubmobile
- 1313fa114436229856797384230a0a73 com.deadsimpleapps.all
- 3050f562374b275f843f6eb892d2f298 edu.cpcc.go
- 400568ea7406f4d3704fb4c02682313a com.ik.class3pdf
- 7a1efcc701f10d2eef08a4f4bcf16fc2 ir.amin.rostami
- 84aed79a10dd21e0996e08ba0c206965 com.alamincarectg.app
- 4376ecd8add3622c2793239f658aa5e6 com.fhuchudev.apyarcarindir
- 8fcc39166b1a8c29fba3f87307967718 book.com.ram.app
- b7fb1fa1738c5048cecbe73086823843 com.kacyano.megasena
- fd37ff8ded80e9fe07004e201422a129 com.ikeyboard.theme.tiedye.neon.weed
- ef83a9b6ffe20b3abdba08a6517b08f0 studio.harpreet.autorefreshanyweb sitesi
- 319421d550ff761aa4ac2639b3985377 com.mdpabhel.autowebpagereloader2022
- 7e3fa8b054346c013a8148d76be81a48 uz.pdp.ussds11
- 60bae94bfa0c79c19fcc19bc5a9fb8e6 com.alamincarectg.app