Google Cloud güvenlik ekibi, Google Play Store’un inceleme sürecinden ve güvenlik kontrollerinden kaçtıktan sonra, kötü amaçlı aktörlerin Android cihazlara kötü amaçlı yazılım yüklemek için kullandıkları, sürüm oluşturma olarak bilinen yaygın bir taktiği kabul etti.
Teknik, ya önceden yüklenmiş uygulamalara gönderilen güncellemeler yoluyla kötü amaçlı yükleri tanıtarak ya da kötü amaçlı kodu, dinamik kod yükleme (DCL) olarak bilinen şekilde tehdit aktörlerinin kontrolü altındaki sunuculardan yükleyerek çalışır.
Tehdit aktörlerinin, uygulama mağazasının statik analiz kontrollerini atlatarak yüklerini yerel, Dalvik veya JavaScript kodu olarak Android cihazlara dağıtmasına olanak tanır.
Şirket, bu yılki tehdit eğilimleri raporunda, “Kötü niyetli aktörlerin Google Play’in güvenlik denetimlerini atlatmaya çalışmasının bir yolu sürüm oluşturmaktır” diyor.
“Sürüm oluşturma, bir geliştiricinin Google Play Store’da meşru görünen ve kontrollerimizi geçen bir uygulamanın ilk sürümünü yayınladığında, ancak daha sonra üçüncü taraf bir sunucudan son kullanıcı cihazındaki kötü amaçlı etkinliğe olanak tanıyan kodu değiştiren bir güncelleme aldığında gerçekleşir. “
Google, Play Store’a dahil edilmek üzere gönderilen tüm uygulamaların ve yamaların titiz bir PHA (Potansiyel Olarak Zararlı Uygulama) taramasından geçtiğini söylese de, “bu kontrollerden bazıları” DCL aracılığıyla atlanır.
Google, bu tür faaliyetlerde bulunduğu tespit edilen uygulamaların Google Play Aldatıcı Davranış politikasını ihlal ettiğini ve arka kapılar olarak etiketlenebileceğini açıkladı.
Şirketin Play Politika Merkezi yönergelerine göre, Google Play aracılığıyla dağıtılan uygulamaların, Google Play tarafından sağlanan resmi güncelleme mekanizması dışındaki herhangi bir yöntemle kendilerini değiştirmesi, ikame etmesi veya güncellemesi açıkça yasaklanmıştır.
Ek olarak, uygulamaların harici kaynaklardan resmi Android App Store’a yürütülebilir kod (dex, JAR veya .so dosyaları0 gibi) indirmesi kesinlikle yasaktır.
Google ayrıca, ilk olarak Ekim 2021’de Cleafy’nin Tehdit İstihbarat Ekibi tarafından tespit edilen ve bu tekniği vahşi doğada kullanmasıyla tanınan SharkBot adlı belirli bir kötü amaçlı yazılım varyantını da vurguladı.
SharkBot, bir Android cihazı ele geçirdikten sonra Otomatik Transfer Hizmeti (ATS) protokolü aracılığıyla yetkisiz para transferleri yapacak kötü amaçlı bir bankacılık yazılımıdır.
SharkBot’tan sorumlu tehdit aktörleri, Play Store sistemleri tarafından tespit edilmekten kaçınmak için, uygulamalarının şüpheli doğasını gizleyerek Google Play’de sınırlı işlevselliğe sahip sürümler yayınlama şeklindeki artık yaygın stratejiyi benimsedi.
Ancak, bir kullanıcı truva atı haline getirilmiş uygulamayı indirdiğinde, kötü amaçlı yazılımın tam sürümünü indirir.
Sharkbot, Android antivirüs yazılımı ve çeşitli sistem yardımcı programları olarak kamufle edildi ve Google Play Store’un kötü niyetli davranışlara yönelik gönderme kontrollerini geçen uygulamalar aracılığıyla binlerce kullanıcıyı başarıyla etkiledi.
Siber güvenlik muhabiri Brian Krebs, yakın zamanda ThreatFabric güvenlik araştırmacıları tarafından açıklanan, aynı amaç için farklı bir mobil kötü amaçlı yazılım gizleme tekniğinin kullanıldığını da vurguladı.
Bu yöntem, Google’ın uygulama analiz araçlarını etkili bir şekilde bozarak kötü amaçlı APK’ları (Android uygulama paketleri) taramasını engeller. Sonuç olarak, bu zararlı APK’lar, geçersiz olarak etiketlenmelerine rağmen kullanıcıların cihazlarına başarıyla yüklenebilir.