Google, sanal pazar aracılığıyla Facestealer, Joker ve Coper kötü amaçlı yazılım ailelerini yaydığı tespit edilen resmi Play Store’dan düzinelerce kötü amaçlı uygulamayı baltalamak için adımlar attı.
Kötü aktörler, şüpheli olmayan kullanıcıları sahte uygulamaları indirmeye ikna etme umuduyla Google tarafından oluşturulan güvenlik engellerini aşmanın yollarını defalarca bulmuşlardır.
Pazartesi günü, araştırmacılar Viral Gandhi ve Himanshu Sharma bir raporda “Joker, Android cihazlarını hedef alan en önde gelen kötü amaçlı yazılım ailelerinden biri” dedi.
“Bu özel kötü amaçlı yazılım hakkında kamuoyunun bilgi sahibi olmasına rağmen, kod güncellemeleri, yürütme yöntemleri ve yük alma teknikleri dahil olmak üzere kötü amaçlı yazılımın iz imzalarını düzenli olarak değiştirerek Google’ın resmi uygulama mağazasına girmeye devam ediyor.”
Joker (aka Ekmek), polar yazılım olarak sınıflandırılır ve kullanıcıları istenmeyen ücretli hizmetlere abone etmek veya premium numaraları aramak için tasarlanmıştır. Fleeceware ayrıca kişi listeleri gibi kullanıcı verilerini de toplar. İlk olarak 2017 yılında Play Store’da bulundu.
İki siber güvenlik firması tarafından 53 Joker indirici uygulaması tespit edildi. Uygulamaların 330.000’den fazla indirildiği tahmin edilmektedir. Bu uygulamalar genellikle fotoğraf düzenleyiciler, emoji klavyeleri ve çeviri uygulamaları olarak işlev görür. Yükseltilmiş izinler isteyerek gelişirler.
Araştırmacılar, kalıcı kötü amaçlı yazılımın algılamayı atlamak için benimsediği yeni taktiği açıkladı: “Kötü amaçlı yazılım yüklü bir sürüm için değiştirmeden önce uygulamaların belirli bir yükleme ve inceleme hacmi kazanmasını beklemek yerine, Joker geliştiricileri kötü amaçlı yükü ticari paketleyiciler kullanan ortak bir varlık dosyası ve paket uygulaması.”
Güvenlik araştırmacısı Maxime Ingrao geçen hafta, altı ay sonra uygulama mağazasından kaldırılmadan önce toplamda üç milyondan fazla indirme yapan Autolycos adlı kötü amaçlı yazılımın farklı bir türevini içeren sekiz uygulamayı açıkladı.
Malwarebytes araştırmacısı Pieter Arntz, “Bu türle ilgili yeni olan şey, artık bir Web Görünümü gerektirmemesi… Web Görünümü gerektirmemesi, etkilenen bir cihazın kullanıcısının şüpheli bir şey olduğunu fark etme şansını büyük ölçüde azaltır. Autolycos, URL’leri uzak bir tarayıcıda yürüterek ve ardından sonucu HTTP isteklerine dahil ederek WebView’den kaçınır.”
Ek olarak, resmi pazarda Facestealer ve Coper kötü amaçlı yazılımını içeren diğer uygulamalar bulundu. Facestealer, operatörlerin Facebook kimlik bilgilerini ve kimlik doğrulama jetonlarını sifonlamasına olanak tanır. Exobot kötü amaçlı yazılımının soyundan gelen Coper, çok çeşitli kullanıcı verilerini çalabilen bir bankacılık truva atı olarak işlev görür. Vanilla Camera ve Unicc QR Scanner uygulamalarında kötü amaçlı kötü amaçlı yazılım bulundu.
Araştırmacılar, Coper’ın SMS metin mesajlarını ele geçirme ve gönderme, mesaj göndermek için USSD (Yapılandırılmamış Ek Hizmet Verileri) isteklerinde bulunma, tuş kaydetme, cihaz ekranını kilitleme/kilidini açma, aşırı saldırılar gerçekleştirme, kaldırmaları önleme ve genel olarak saldırganların virüslü cihazlarda kontrolü ele geçirmesine ve komutları yürütmesine izin verme yeteneğine sahiptir. C2 sunucusuyla uzaktan bağlantı yoluyla cihaz.
Tehdit aktörleri tarafından radarın altında kalmak için kullanılan gelişen taktikler, onları resmi uygulama mağazasına sokmaya yardımcı olur.
Kullanıcılar, uygulamalara gereksiz izinler vermekten kaçınmaları ve incelemeleri, geliştirici bilgilerini kontrol ederek ve gizlilik politikalarını okuyarak meşruiyetlerini doğrulamaları konusunda uyarıldı.