McAfee’deki araştırmacılar, popülaritenin siber suçluların dikkatini kolayca çektiğini, bunun en son örneğinin HiddenAds kötü amaçlı yazılım içeren Minecraft türü oyunlar olduğunu buldu.
Minecraft, oyuncuların 3 boyutlu dünyalarda çeşitli türde bloklar oluşturup parçaladıkları son derece popüler bir sanal alan oyunudur. Bir masaüstünde veya mobilde oynanabilir ve Mojang Studios tarafından geliştirilmiştir.
Minecraft’ın popülaritesi, benzer oyunları yeniden yaratmaya yönelik birçok girişime yol açtı. Sonuç olarak, HiddenAds kötü amaçlı yazılımına sahip bazı Minecraft türü oyunlar da dahil olmak üzere dünya çapında Minecraft ile aynı konsepte sahip pek çok oyun var.
McAfee, bu uygulamaları derhal harekete geçen Google’a bildirdi ve uygulamalar artık Google Play’de mevcut değil.
HiddenAds kötü amaçlı yazılım içeren Minecraft tipi oyunlar
McAfee Mobil Araştırma Ekibi kısa bir süre önce Google Play Store’da HiddenAds kötü amaçlı yazılım içeren Minecraft tipi 38 oyun keşfetti. Birlikte dünya çapında en az 35 milyon kullanıcı bu oyunları yükledi.
Kullanıcılar bu oyunları blok tabanlı dünyada sorunsuz oynayabiliyor ancak cihaz üzerinde sürekli olarak çeşitli domainlerin reklam paketleri oluşuyor.
HiddenAds kötü amaçlı yazılım içeren bu Minecraft tipi oyunların ilk ağ paketleri çok benzer bir yapıya sahiptir ve tüm etki alanları farklıdır ancak yol olarak 3.txt kullanılması eşdeğerdir.
ABD, Kanada, Güney Kore ve Brezilya’dan çoğu kullanıcı, arka planda reklam paketleri gönderen bu video oyunlarından etkilendi. HiddenAds kötü amaçlı yazılımına sahip bu Minecraft türü oyunlar, Minecraft’a benzer bir yapıya sahip olmanın yanı sıra benzer adlara bile sahipti.
HiddenAds ile Minecraft tipi oyunlar: Reklam bombardımanı
McAfee Mobil Araştırma Ekibi, Google Play Store’da HiddenAds kötü amaçlı yazılım içeren bu Minecraft türü oyunları bulduğunda Google’ı bu konuda uyardı. Google, bu uygulamaları platformundan derhal sonlandırdı.
Oyun videoları artık Google Play Store’da mevcut değil. Android’de kötü amaçlı uygulama olduğu tespit edilen tehdit, Google Play’e farklı isimlerle yüklendi.
Google Play Protect, kötü amaçlı uygulamaları fark ettikten sonra kullanıcıları uyarmakla görevli olsa da, kullanıcıların ücretli ve/veya popüler oyunların sürümlerini indirmeden önce dikkatli olmaları beklenir.
Fotoğraf izni: McAfeeGizli reklam paketleriyle bulunan oyunlar arasında 10 milyondan fazla indirilen Block Box Master Diamond, Craft Sword Mini Fun, Block Box Skyland Sword, Craft Monster Crazy Sword ve Block Pro Forrest Diamond da vardı.
Reklam paketleriyle kullanıcı cihazlarının güvenliğini tehdit eden Minecraft benzeri diğer oyunlar, Block Game Skyland Forrest, Block Rainbow Sword Dragon ve Craft Rainbow Mini Builder idi.
Reklam paketleri gönderen video oyunlarının çoğu, içinde Craft, Block, Builder, Rainbow, Forrest, Fun ve Diamond olmak üzere benzer adlandırma kurallarına sahipti.
Kullanıcılar, paket gönderen video oyunlarını oynarken büyük hacimli gizli reklamları genellikle göz ardı ederler.
Unity, Supersonic, Google ve AppLovin reklam kitaplıkları, yukarıdaki resimde gösterildiği gibi araştırmacılar tarafından dört şüpheli paketle ele geçirildi. Bu veriler kullanıcılardan gizlenmiş ve herhangi bir noktada ekrana yansıdığı görülmemiştir.
Paket gönderen video oyunlarının ilk ağ paketleri birbirine çok benziyordu. Etki alanları farklı olsa da hepsi yol olarak 3.txt’yi kullandı. Bu, paketlerin https://(xyz).netlify.app/3.txt biçiminde işlenmesine yol açtı.
HiddenAds malware: Sorun devam ediyor
Google, HiddenAds kötü amaçlı yazılım içeren bu Minecraft türü oyunları Google Play Store’dan kaldırmış olsa da, McAfee’nin daha önceki analizine göre tehdit aktörlerinin popüler çevrimiçi içeriği dinleme olasılığı devam ediyor.
Temmuz 2022’de McAfee’nin Mobil Araştırma Ekibi, Google Play Store’da bu kötü amaçlı yazılımı tespit etti. Araştırmacılar, virüslü uygulamaların kurbanlara sürekli olarak reklam gösterdiğini ve yükleme sonrasında uygulamayı çalıştırmadan otomatik olarak kötü amaçlı hizmetler çalıştırdığını fark ettiler.
“Kullanıcılar genellikle uygulamayı çalıştırmadan yüklemenin güvenli olduğunu düşünebilir. Ancak bu kötü amaçlı yazılım nedeniyle fikrinizi değiştirmeniz gerekebilir. Bu kötü amaçlı yazılımı cihazınıza yüklediğinizde, etkileşim olmadan yürütülür ve kötü amaçlı bir hizmet yürütür” dedi.
“Ayrıca, kullanıcıların uygulamaları fark etmesini ve silmesini engellemek için kendilerini gizlemeye çalışıyorlar. Simgelerini, kullanıcıların aşina olduğu bir Google Play simgesiyle değiştirin ve adını “Google Play” veya “Ayar” olarak değiştirin.”
Kötü amaçlı yazılım yazarları, bu uygulamaları yeni kullanıcılara tanıtmak için Facebook’ta reklam sayfaları oluşturdu. Google Play bağlantısı meşru sosyal medya aracılığıyla dağıtıldı ve kullanıcıların şüphesiz indirmesini sağladı.
Kötü amaçlı yazılım, cihazın kişiler uygulamasında görülen verilerin kaynağı olan İletişim Sağlayıcı’yı kullanır ve ayrıca kullanıcının kendi uygulamasındaki verilerine erişebilir ve cihaz ile çevrimiçi hizmetler arasında veri aktarabilir. İletişim Sağlayıcı, yeni yüklenen veya değiştirilen paketleri otomatik olarak sorgulayarak kötü amaçlı yazılımın cihazlara bulaşmasını kolaylaştırır.
McAfee daha sonra, kullanıcıların Güney Kore, Japonya ve Brezilya da dahil olmak üzere birçok ülkede bu uygulamaları 100K’dan 1M+’ya yüklediğini doğruladı.
Şirket bu tehdidi Google’a açıklamış ve bildirilen tüm uygulamalar Play Store’dan kaldırılmış olsa da, bu sefer HiddenAds kötü amaçlı yazılım içeren Minecraft türü oyunlar biçiminde ortaya çıkması an meselesiydi.