Siber güvenlik araştırmacıları, Google Play Store’a sızan ve kötü niyetli yüklerini görünüşte zararsız birçok uygulamanın içinde saklayan üç Android kötü amaçlı yazılım ailesi keşfetti.
Kötü amaçlı yazılım uygulamalarını yükleyen kullanıcıların maruz kaldığı kötü niyetli faaliyetler arasında çalınan veriler, sosyal medya hesaplarının ele geçirilmesi, SMS müdahalesi ve cep telefonu numaralarına yetkisiz ödemeler yer aldı.
Google Play Store’da Zscaler’s ThreatLabz tarafından keşfedilen kötü amaçlı yazılım aileleri “Joker”, “Facestealer” ve “Coper” olarak bilinir.
Analistler bulgularını Google’a bildirdiler ve o zamandan beri tüm uygulamalar Play Store’dan kaldırıldı. Ancak, hala bu kötü amaçlı uygulamaları kullananların bunları kaldırması ve kalıntıları ortadan kaldırmak için bir cihaz güçlendirmesi yapması gerekecek.
Joker
Joker kötü amaçlı yazılım ailesi, SMS mesajları ve kurbanın kişi listesi de dahil olmak üzere güvenliği ihlal edilmiş cihazlardan bilgi çalmak ve ayrıca cep telefonu numaralarını premium kablosuz uygulama protokolü (WAP) hizmetlerine abone olmak için kullanılır.
Zscaler’in raporu, Play Store’da toplu olarak 300.000’den fazla indirmeyi hesaba katan Joker ile truva atı atılmış 50 uygulamayı listeliyor.
Bunların neredeyse yarısı iletişim uygulamalarıdır, çünkü bunlar doğal olarak kullanıcıların riskli izinlere erişim vermesini gerektirir, bu nedenle kötü amaçlı yazılımın kötü niyetli çalışması için gereken üst düzey ayrıcalıkları edinmesi daha kolaydır.
.png)
Joker geliştiricileri artık yükü ortak bir varlık dosyasında, base64 gizlenmiş biçimde gizler ve bazen ona JSON, TTF, PNG veya veritabanı dosya uzantısı verir.
Raporda Zscaler, “Birçok Joker uygulaması, yükü Android Paket Kiti’nin (APK) varlıklar klasöründe gizler ve x86 mimarisine dayalı çoğu sanal alan tarafından algılanmayı önlemek için bir ARM ABI yürütülebilir dosyası oluşturur” diye açıklıyor.
yüz hırsızı
Kötü amaçlı yazılımın adından da anlaşılacağı gibi Facestealer, meşru uygulamaların oturum açma formlarının üzerine yerleştirilmiş sahte oturum açma formlarını kullanarak kurbanların Facebook hesaplarını çalıyor.
Araştırmacılar, kodunda belirli kötü amaçlı yazılım ailesini gizleyen bir uygulama buldular, yaklaşık 5.000 kez yüklenen “Vanilla Snap Camera” adlı zararsız bir yardımcı program.
Koper
Coper, SMS metinlerini ele geçirme, cihazlara girilen metinleri kaydetme, üst üste bindirme saldırıları gerçekleştirme, kötü niyetli SMS metinleri gönderme ve verileri saldırganın sunucularına geri sızdırma yeteneğine sahip, bilgi çalan bir kötü amaçlı yazılımdır.
Zscaler’ın analistleri, kodunda Coper’ı gizleyen ve yaklaşık 1.000 cihazı tehlikeye atan “Unicc QR Scanner” adlı en az bir uygulama buldu.
Uygulamanın kendisi başlangıçta herhangi bir kötü amaçlı kod içermese de, yüklenip başlatıldığında, kötü amaçlı yazılımı sahte bir program güncellemesi yoluyla indirecektir.
nasıl güvende kalınır
Google Play Store’dan kötü amaçlı bir uygulama yükleme olasılığını korumak için, yalnızca kesinlikle gerekli uygulamaları yükleyin, bir uygulamayı yüklemeden önce herhangi birinin kötü niyetli davranış bulup bulmadığını görmek için yorumları okuyun ve yalnızca büyük tanınmış yayıncılara güvenin.
Yüklemenin ardından, istenen izinlere dikkat edin ve özellikle uygulamanın temel işleviyle bağlantılı görünmüyorsa riskli izinlere erişim vermekten kaçının.
Son olarak, cihazınızda Play Protect’in etkin olduğundan emin olun ve arka planda çalışan olası şüpheli işlemleri ortaya çıkarmak için ağ verilerinizi ve pil tüketiminizi düzenli olarak izleyin.