Google Play mağazasında casus yazılım yüklü iki ayrı kötü amaçlı uygulama bulundu ve Çin’e geri dönen sıfır tıklamalı casus yazılımla yüklendi.
Pradeo’nun yeni bir güvenlik uyarısına göre, her iki uygulama birlikte, aynı geliştiriciye kadar takip edilerek tahmini 1,5 milyon kullanıcıyı etkiledi. Araştırmacılar, Google’ın bildirim aldıktan sonra birkaç saat içinde uygulamaları kaldırdığını da sözlerine ekledi.
Yükseltilmiş İzinlere Dayanan Casus Yazılım Uygulamaları
Çoğu kötü amaçlı uygulama, kurbanın kötü amaçlı yazılımı başarılı bir şekilde dağıtmak için gerçekten kullanmasına güvenir, ancak Pradeo’ya göre bunlar bunun yerine izinlere dayanıyordu.
“Güvenlik uyarısında, “Genellikle kullanıcılar kullanmadıkları uygulamaları yüklerler. Çoğu kötü amaçlı yazılım için bu, saldırının başarısız olduğu anlamına gelir. Bu engelin üstesinden gelmek için, Dosya Yöneticisi ve Dosya Kurtarma ve Veri Kurtarma, kullandıkları gelişmiş izinler aracılığıyla aygıtın yeniden başlatılmasını sağlayabilir. Bu, uygulamaların yeniden başlatma sırasında kendilerini otomatik olarak başlatmasına ve yürütmesine izin verir.”
Pradeo araştırmacısı Roxane Suau, Dark Reading’e, dosya yöneticisi uygulamalarına ek olarak, çöp temizleme uygulamalarının da, görevlerini yerine getirmeleri için gereken yükseltilmiş izinler nedeniyle, genellikle kötü amaçlı amaçlarla taklit edildiğini açıkladı.
Casus yazılım uygulamaları, sinsi izinlerin ötesinde, toplanan veri miktarını yanlış beyan etti ve bu da Google Play mağazasında bulunan uygulamalardaki güvenlik kontrolleri hakkında uyarılara neden oldu. Tanium uç nokta güvenlik araştırması direktörü Melissa Bischoping.
BYOD Politikaları Riski Artırır
“Kullanıcılar genellikle bir uygulamadaki veri gizliliği ve güvenlik raporlarına güvenmeye teşvik edilir.‘Bu tür bir aldatmaca, yalnızca Pradeo raporlarında analiz edilenlere değil, tüm uygulamalara olan güveni baltalar” diyor Bischoping. “Mağazada 3,5 milyondan fazla uygulama var; her uygulamanın belirtilen gizlilik ve güvenlik uygulamalarına nasıl uyduğuna dair derinlemesine analiz yapın. Bununla birlikte, bu tür göze batan yanlışlıklar, yayınlananlar üzerinde daha sıkı inceleme ve kontrole ihtiyaç olduğunu gösteriyor.”
Bischoping, bu kötü niyetli uygulamaların işletmelere verebileceği zararın, kendi cihazını getir (BYOD) politikalarıyla önemli ölçüde arttığına dikkat çekiyor.
“‘Kendi cihazını getir’ politikası genellikle büyük kuruluşlar için mobil cihazların yönetilemezliğine neden olur” diye açıklıyor. “Bu nedenle, bir çalışanın hangi uygulamaları yükleyebileceğini veya bu uygulamalara ne kadar erişim izni vereceğini kontrol edemezsiniz. Kişisel cihazlardan kurumsal verilere mobil erişime izin vermenin riskini/ödülünü tartmak önemlidir.”
Vulcan Cyber’in kıdemli teknik mühendisi Mike Parkin, Dark Reading’e, kuruluşa ait cihazların bu uygulamaların indirilmesini kısıtlamak için kontrollere sahip olması gerektiğini söylüyor.
“Kuruluşa ait cihazlar söz konusu olduğunda, bunu zaten yapıyor olmaları gerekir,” diyor Parkin. “Cihaza sahiplerse, cihaza girenleri kısıtlama hakları var.”
Parkin, BYOD politikaları olan kuruluşlar için, uygulama indirmeye kısıtlamalar getirmenin daha zor olduğunu, çünkü cihazın sahibi kullanıcının olduğunu ve kısıtlamalara karşı çıkabileceğini ekliyor. Beklentilerini yayınlamaları ve gerektiğinde virüslü cihazların kurumsal varlıklara erişimini engellemeleri uygun olsa da.”
Kötü amaçlı uygulamalar yeni bir şey olmasa da, Viakoo Labs’ın başkan yardımcısı John Gallagher, Google Play Store’da keşfedilen bu iki casus yazılım uygulaması gibi olayların kurumsal güvenlik ekiplerini kendi politikalarını gözden geçirmeye teşvik edeceğini umuyor.
Gallagher, “Bir uygulamanın indirme sayılarını şişirmesi, ihtiyaç duyduğundan daha fazla izne sahip olması ve kişisel bilgi politikalarını ve yasalarını ihlal etmesi mevcut saldırı vektörleridir” diyor. “Bu yeni keşfedilen tehditler, daha fazla kuruluşu bu tür uygulamalar için şirket tarafından sağlanan cihazları taramaya veya sorunları tespit etmek için ağ trafiğini izlemeye itebilir.”