Bitdefender’daki siber güvenlik araştırmacıları, Google Play Store’da 300’den fazla uygulamayı başarıyla konuşlandıran kötü niyetli bir reklam sahtekarlığı kampanyası keşfettiler. Bu kötü niyetli uygulamalar, kullanıcıları istilacı reklamlara ve kimlik avı denemelerine maruz bırakarak toplu olarak 60 milyondan fazla indirildi.
Google Play Store’daki kötü amaçlı uygulamalar
Android uygulamaları için popüler bir platform olan Google Play Store, siber suçlular için bir hedef haline geldi. Google’ın kötü amaçlı uygulamaları kaldırarak güvenli bir ortam sürdürme çabalarına rağmen, saldırganlar sürekli olarak yeni yöntemleri bir şekilde kaydırmak için uyarlar.
Bitdefender’ın Hackread.com ile Salı günü yayınlanmadan önce paylaşılan raporuna göre, araştırmacılar IAS Tehdit Laboratuvarı ile birlikte bu kampanyayı, 15’i soruşturma sırasında hala Google Play’de bulunan en az 331 kötü amaçlı uygulamaya kadar takip etti. Bu uygulamalar, QR tarayıcıları, gider izleyicileri, sağlık uygulamaları ve duvar kağıdı uygulamaları gibi zararsız yardımcı programlar olarak poz verir.
Bu uygulamaların çoğu başlangıçta zararsız görünüyordu, ancak daha sonra kötü amaçlı kodlar içerecek şekilde güncellendi. Üçüncü çeyrekten bu yana aktif olan sahtekarlık kampanyası, Mart 2025’e kadar yeni kötü amaçlı uygulamalar hala mağazada görünmektedir. Bu kampanyadan etkilenen en iyi 5 ilçe şunları içerir:
- Brezilya
- Amerika Birleşik Devletleri
- Meksika
- Turkiye
- Güney Afrika
Gizli simgeler– Reklamlar ve Kimlik avı:
Tekniklerden biri, uygulama simgesini kullanıcının başlatıcısından gizlemeyi içerir. Daha yeni Android sürümlerinde kısıtlanan bu yöntem, saldırganların bir kusur bulduğunu veya API güvenlik açığından yararlandığını gösteriyor. Bazı uygulamalar adlarını Google Voice gibi meşru hizmetleri taklit etmek için değiştirerek kaldırmalarını daha da karmaşıklaştırıyor.
Bu uygulamalar, başka bir uygulama kullanımda olsa bile, kullanıcı izni olmadan tam ekran reklamları görüntülemek için tasarlanmıştır. Daha da kötüsü, kimlik avı saldırılarını başlatabilirler, kullanıcıları oturum açma kimlik bilgileri ve kredi kartı detayları gibi hassas bilgileri açığa çıkarmaya kandırabilirler.
Araştırmacılar ayrıca, bu kötü amaçlı uygulamalar tarafından enfekte olmuş cihazlarda tespitten kaçınmak için kullanılan teknik stratejileri de ortaya koydu. Böyle bir teknik, uygulamaların kurulumdan sonra sistem tarafından otomatik olarak sorgulanan bir iletişim içerik sağlayıcısını bildiren ve kullanıcı etkileşimi olmadan yürütülmesini sağlayan içerik sağlayıcı kötüye kullanımıdır.
Başka bir taktik, aktivitenin piyasaya sürülmesini içerir DisplayManager.createVirtualDisplay ve diğer API çağrıları, uygulamaların kullanıcı izni gerektirmeden etkinlikleri başlatmasına izin verir. Bu teknik genellikle müdahaleci reklamlar görüntülemek veya kimlik avı denemelerini başlatmak için kullanılır.
Kalıcılığı korumak için, bu uygulamalar hizmetlere ve kukla alıcılara güvenerek, belirli arka plan etkinliklerini engelleyen daha yeni Android sürümlerinde bile aktif kalmalarını sağlar.
Cihazlarınızı Koruyun
Genellikle, uygulamaları yalnızca Google Play ve Apple’ın App Store gibi resmi mağazalardan indirmek en iyisidir. Ancak, bu durumda, hem resmi hem de üçüncü taraf mağazalardan gereksiz uygulamalar indirmekten kaçınmanız önerilir.
Güvenlik yamalarının otomatik olarak yüklenmesi için cihazınızı güncel tuttuğunuzdan emin olun. Düzenli kötü amaçlı yazılım taramaları çalıştırın ve bir uygulamanın simgesi aniden kaybolması, adı değişen, cihazınız yavaşlama veya aşırı pil tahliyesi gibi şüpheli etkinlikleri izleyin. Olağandışı bir şey fark ederseniz, uygulamayı hemen silin.