Siber güvenlik araştırmacıları, SMS samançıları ve temel casus yazılımlar gibi daha basit kötü amaçlı yazılımları dağıtmak için genellikle bankacılık truva atlarını teslim etmek için kullanılan damlalık uygulamalarının Android kötü amaçlı yazılım manzarasında yeni bir değişime dikkat çekiyor.
TehditFabric, bu kampanyaların Hindistan’da ve Asya’nın diğer bölgelerinde hükümet veya bankacılık uygulamaları olarak maskelenen damlalık uygulamaları aracılığıyla yayıldığını söyledi.
Hollandalı mobil güvenlik firması, değişikliğin, Google’ın SMS mesajları ve erişilebilirlik hizmetleri gibi tehlikeli izinler talep eden potansiyel olarak şüpheli uygulamaların yan yüklenmesini engellemek için Google’ın Singapur, Tayland, Brezilya ve Hindistan gibi belirli pazarlarda pilotluk yaptığı son güvenlik korumalarından kaynaklandığını söyledi.
Şirket, “Google Play Protect’in savunmaları, özellikle hedeflenen pilot programı, riskli uygulamaları çalıştırmadan önce durdurmada giderek daha etkilidir.” Dedi. “İkincisi, aktörler operasyonlarını geleceğe dayanıklı olmak istiyorlar.”
Diyerek şöyle devam etti: “Bir damlalık içindeki temel yükleri bile kapsayarak, yarın yükleri değiştirecek ve kampanyaları değiştirecek kadar esnek kalırken bugünün çeklerinden kaçabilecek koruyucu bir kabuk kazanıyorlar.”
TehditFabric, Google’ın stratejisi, bir kullanıcı onunla etkileşime girmeden önce bile kötü niyetli bir uygulamanın yüklenmesini engelleyerek ante’yi yükseltirken, saldırganların güvenliğin etrafında dolaşmanın yeni yollarını denediğini-güvenlik söz konusu olduğunda sonsuz bir Whack-Mole oyununun bir göstergesi.
Bu, damlaların tasarlanmasını, Google’ın pilot programını akılda tutarak, yüksek riskli izinler almamaları ve bölgelerde taramayı geçebilen sadece zararsız bir “güncelleme” ekranı sunmalarını içerir.
Ancak, yalnızca kullanıcı “Güncelleme” düğmesini tıklattığında, gerçek yükün harici bir sunucudan veya ambalajsız alınması, daha sonra hedeflerini yerine getirmek için gerekli izinleri aramaya devam eder.
Tehdit Fabric, “Play Protect, farklı bir taramanın bir parçası olarak riskler hakkında uyarılar gösterebilir, ancak kullanıcı bunları kabul ettiği sürece uygulama yüklenir ve yük teslim edilir.” Dedi. “Bu, kritik bir boşluğu gösterir: Kullanıcı yine de yüklüyorsa ve kötü amaçlı yazılım pilot program üzerinden kayarsa, Play Protect Still Still yine de riskli uygulamalara izin verir.”
Böyle bir damlalık, casus yazılım yükü ile birlikte hizmet ettiği tespit edilen RewardDropMiner’dır. Bununla birlikte, aracın son varyantları artık madenci işlevselliğini içermemektedir.
Hindistan’daki tüm hedef kullanıcılar olan RewardDropMiner aracılığıyla sunulan kötü amaçlı uygulamalardan bazıları aşağıda listelenmiştir –
- PM Yojana 2025 (com.fluvdp.hrzmkgi)
- ° RTO Challan (com.epr.fnroyex)
- SBI Online (com.qmwownic.eqmff)
- Eksen kartı (com.tolqppj.yqmrlytfzrxa)
Play Protect veya pilot programı tetiklemekten kaçınan diğer damlalık varyantları arasında Securidropper, Zombinder, Brokewelldropper, Hiddencatdropper ve Tiramisudropper bulunur.
Yorum için ulaşıldığında Google, Hacker News’e Play Store aracılığıyla dağıtılan bu teknikleri kullanarak herhangi bir uygulama bulamadığını ve sürekli olarak yeni korumalar eklediğini söyledi.
Bir sözcü, “Bir uygulamanın nereden geldiğine bakılmaksızın – bir ‘damlalık’ uygulaması tarafından yüklenmiş olsa bile – Google Play Protect, kullanıcıların tehditleri otomatik olarak kontrol ederek güvende tutmasına yardımcı olur.” Dedi.
“Bu tanımlanmış kötü amaçlı yazılım sürümlerine karşı koruma, bu rapordan önce Google Play Protect aracılığıyla zaten mevcuttu. Mevcut algılamamıza dayanarak, bu kötü amaçlı yazılımların bu sürümlerini içeren hiçbir uygulama Google Play’de bulunamadı. Kullanıcıların kötü aktörlerden korunmasına yardımcı olmak için korumalarımızı sürekli geliştiriyoruz.”
Geliştirme, Bitdefender Labs’ın, Android’in kurbanın cihazından hassas bilgileri izlemek, kontrol etmek ve çalmak için Brokewell Banking Trojan’ın geliştirilmiş bir sürümünü dağıtmak için TradingView uygulamasının ücretsiz bir premium sürümünü seyretmek için Facebook’ta kötü niyetli reklamlar kullanan yeni bir kampanya konusunda uyardığı gibi geliyor.
22 Temmuz 2025’ten bu yana sadece Avrupa Birliği’nde on binlerce kullanıcıya ulaşan 75’den az kötü amaçlı reklam yayınlanmadı. Android saldırı dalgası, çeşitli finansal ve kripto para birimi uygulamalarının kisvesi altında Windows masaüstlerini hedeflemek için Facebook reklamlarını kötüye kullanan daha büyük bir kötü niyetli operasyonun sadece bir parçasıdır.
Romanya siber güvenlik şirketi, “Bu kampanya, siber suçluların kullanıcı davranışlarına ayak uydurmak için taktiklerini nasıl ince ayarladıklarını gösteriyor.” Dedi. “Mobil kullanıcıları hedefleyerek ve kötü amaçlı yazılımları güvenilir ticaret araçları olarak gizleyerek, saldırganlar kripto uygulamalarına ve finansal platformlara artan güveniyle para kazanmayı umuyor.”