Bitdefender’dan güvenlik araştırmacıları, Google Play Store’da 331 kötü amaçlı uygulamayı içeren büyük ölçekli bir reklam sahtekarlığı kampanyası ortaya çıkardılar.
60 milyondan fazla indirme biriktiren bu uygulamalar, güvenlik kısıtlamalarını atlamak ve kimlik avı saldırılarını, reklam sahtekarlığı ve kimlik bilgisi hırsızlığı yapmak için Android 13’teki güvenlik açıklarını kullanır.
Kampanya endişe verici bir sofistike seviyeyi göstermektedir. Saldırganlar, Android’in kullanıcı etkileşimi olmadan faaliyetleri başlatma konusundaki kısıtlamalarını atlamayı ve yeni Android sürümlerinde yasaklanan bir özellik olan başlatıcıdan uygulama simgelerini gizlemeyi başardılar.
Bu uygulamalar, QR tarayıcıları, gider izleyicileri, sağlık uygulamaları ve duvar kağıdı araçları gibi yardımcı program uygulamalarını taklit ederek şüphesiz kullanıcılar için zararsız görünmelerini sağlar.
Yüklendikten sonra, bu uygulamalar ön planda aktif olarak çalışmadığında bile müdahaleci tam ekran reklamları görüntüler. Daha da kötüsü, bazı uygulamalar kimlik avı denemeleri yoluyla çevrimiçi hizmetler ve kredi kartı detayları için kimlik bilgileri de dahil olmak üzere hassas kullanıcı bilgilerini toplamaya çalışır.
Bu davranış, bu tür eylemlerle geleneksel olarak ilişkili izinler gerektirmeden elde edilir, bu da Android API’lerinin ileri teknik manipülasyonunu gösterir.
Tespitten kaçınmak için teknik izledi
Kötü niyetli uygulamalar tespitten kaçınmak için çeşitli teknikler kullanır:
- Simge Saklama: Saldırganlar, başlatıcı etkinliklerini devre dışı bırakma veya uygulama simgelerini kullanıcılardan gizlemek için Android TV (Leanback_Launcher) için tasarlanmış API’lerden yararlanma gibi mekanizmaları kullanır.
- Etkinlik başlatma: API’leri kötüye kullanarak
DisplayManager.createVirtualDisplayVePresentation.show()kötü amaçlı yazılımlar izinsiz faaliyetlere başlar. Bu, Facebook veya YouTube gibi meşru hizmetleri taklit eden tam ekran talepleri aracılığıyla kimlik avı saldırılarını mümkün kılar. - Kalıcılık mekanizmaları: Uygulamalar, cihazlarda varlıklarını korumak için kukla yayın alıcıları ve ön plan hizmetlerini kullanır. Ön plan hizmetlerinin kısıtlandığı yeni Android sürümlerinde bile, saldırganlar bu sınırlamayı yerel kod kullanarak atlatıyor.
Bitdefender, bu kötü amaçlı uygulamaların çoğu 2024’ün üçüncü çeyreğinde Google Play’de aktif hale geldi. Başlangıçta, bu uygulamaların benign sürümlerinin daha sonra üçüncü çeyrek başında başlayan kötü amaçlı yazılım bileşenleri ile güncellendiğini söyledi.
Kampanya aktif olmaya devam ediyor, en son kötü amaçlı yazılım grubu 4 Mart 2025’e kadar Play Store’a yüklendi. Bitdefender’ın soruşturması sırasında, bu uygulamaların 15’i hala indirilebilir.
Bu kampanyanın ölçeği benzeri görülmemiş. Kesin coğrafi dağılım belirsiz olmakla birlikte, çok sayıda indirme, birden fazla bölgede yaygın bir etkiyi göstermektedir.
Saldırganlar, siyah pazarlardan satın alınan aynı ambalaj araçlarını kullanan tek bir varlık ya da bir grup gibi görünüyor.
Güvenlik sistemleri ve araştırmacılar tarafından algılamadan kaçınmak için, kötü amaçlı yazılım gelişmiş gizleme yöntemleri kullanır:
- Xor kodlama kullanarak dize gizleme.
- AES ve Base64’ü birleştiren polimorfik şifreleme teknikleri.
- Çalışma zamanı, taklit ortamları veya hata ayıklama girişimlerini tespit etmek için kontrol eder.
- Armariris gibi araçlarla gizlenmiş yerel kütüphanelerin kullanımı.
Kullanıcılar için çıkarımlar
Bu keşif, Android’in güvenlik çerçevesindeki kritik güvenlik açıklarını vurgular ve güçlü üçüncü taraf güvenlik çözümlerine duyulan ihtiyacın altını çizer. Google, kötü amaçlı uygulamaları platformundan proaktif olarak temizledi, ancak saldırganlar yöntemlerini uyarlamaya devam ediyor.
Bitdefender, kullanıcıların yalnızca Android ve Google Play Store tarafından sağlanan varsayılan korumalara güvenmekten kaçınmasını önerir.
Saldırganların Android Systems’taki boşluklardan yararlanması ve sofistike kaçırma teknikleri kullanmasıyla, kullanıcılar Google Play Store gibi güvenilir platformlardan bile uygulamaları indirirken uyanık kalmalıdır.
Bu kampanya ilerledikçe, hem kullanıcıların hem de geliştiricilerin giderek daha karmaşık tehditlerle mücadele etmek için mobil güvenlik önlemlerine öncelik vermeleri için bir uyandırma çağrısı görevi görür.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.