.jpg)
Google Play’den 60 milyon öğe indirilen 300’den fazla kötü niyetli Android uygulaması, reklam yazılımı olarak hareket etti veya kimlik bilgileri ve kredi kartı bilgilerini çalmaya çalıştı.
Operasyon ilk olarak kötü niyetli etkinliği “buhar” adı altında kategorize eden ve 2024’ün başından beri devam ettiğini söyledi.
IAS, 180 uygulamayı buhar kampanyasının bir parçası olarak tanımladı ve büyük ölçekli reklam sahtekarlığına girmek için günlük 200 milyon hileli reklam teklif talebi üretti.
Bitdefender tarafından yeni yayınlanan bir rapor, Brezilya, ABD, Meksika, Türkiye ve Güney Kore’deki birçok enfeksiyon bildirerek kötü amaçlı uygulamaların sayısını 331’e çıkardı.
Bitdefender, “Uygulamalar bağlam dışı reklamlar sergiliyor ve hatta kurbanları kimlik avı saldırılarında kimlik bilgileri ve kredi kartı bilgileri vermeye ikna etmeye çalışıyor.”
Her ne kadar bu uygulamalar o zamandan beri Google Play’den kaldırılmış olsa da, tehdit aktörleri Google’ın inceleme sürecini atlama yeteneğini zaten gösterdiğinden, buharın yeni uygulamalardan geri dönme riski var.
Google Play’deki Vapor Uygulamaları
Buhar kampanyasında kullanılan uygulamalar, sağlık ve fitness izleme, not alma araçları ve günlükler, pil optimize edicileri ve QR kod tarayıcıları gibi özel işlevsellik sunan yardımcı programlardır.
Uygulamalar Google’ın güvenlik incelemelerini geçer, çünkü tanıtılan işlevselliği içermekte ve gönderim sırasında kötü niyetli bileşenler içermezler. Bunun yerine, kötü amaçlı yazılım işlevselliği, bir komut ve kontrol (C2) sunucusundan teslim edilen güncellemeler yoluyla yükleme sonrası indirilir.
Kaynak: IAS Tehdit Laboratuvarı
Bitdefender ve IAS tarafından vurgulanan bazı önemli durumlar:
- Aquatracker – 1 milyon indirme
- Clicksave indirici – 1 milyon indirme
- Hawk tarama – 1 milyon indirme
- Su Zaman Tracker – 1 milyon indirme
- Daha fazla olmak – 1 milyon indirme
- Beatwatch – 500.000 indirme
- Çeviri – 100.000 indirme
- Ahize bulucu – 50.000 indirme.
Çeşitli geliştirici hesaplarından Google Play’e yüklenir, her biri mağazaya sadece birkaçını iter, böylece yayından kaldırma durumunda yüksek kesintiyi riske atmaz. Benzer nedenlerle, her yayıncı farklı bir ADS SDK kullanır.
Buhar uygulamalarının çoğu Ekim 2024 ile Ocak 2025 arasında Google Play’de yayınlandı, ancak yüklemeler Mart ayına kadar devam etti.
Bitdefender
Kötü niyetli işlevsellik
Kötü niyetli buhar uygulamaları, yüklemeden sonra androidmanifest.xml dosyasındaki başlatıcı etkinliklerini kapatarak görünmez hale getirir. Bazı durumlarda, meşru uygulamalar (örneğin Google Voice) olarak görünecek ayarlarda kendilerini yeniden adlandırırlar.
Uygulamalar kullanıcı etkileşimi olmadan başlatılır ve ikonu gizli tutmak için başlatıcı devre dışı tutarken ikincil gizli bir bileşeni etkinleştirmek için yerel kodu kullanır.
Bitdefender, bu yöntemin, uygulamaların aktif olduktan sonra kendi başlatıcı etkinliklerini dinamik olarak devre dışı bırakmasını önleyen Android 13+ güvenlik korumalarını atladığını söylüyor.
Kötü amaçlı yazılım ayrıca Android 13+ ‘deki’ System_alert_window ‘izin kısıtlamalarını atlar ve tam ekran kaplaması görevi gören ikincil bir ekran oluşturur.
Reklamlar, diğer tüm uygulamaların üstünde yer alan bu ekranda görüntülenir ve kullanıcıyı ‘Geri’ düğmesi devre dışı bırakıldıkça çıkmanın bir yolu bırakmaz.
Uygulama ayrıca kendisini ‘son görevlerden’ uzaklaştırır, böylece kullanıcı hangi uygulamanın yeni aldıkları reklamı başlattığını belirleyemez.
Bitdefender, bazı uygulamaların reklam sahtekarlığının ötesine geçtiğini, Facebook ve YouTube için kimlik bilgilerini çalmak veya kullanıcıları çeşitli iddialar altında kredi kartı bilgileri girmeye teşvik etmek için sahte giriş ekranları sergilediğini bildiriyor.
https://www.youtube.com/watch?v=lztzsrwfp6k
Genellikle Android kullanıcılarının, geri alınamayan yayıncılardan gereksiz uygulamalar yüklemekten, verilen izinleri incelemekten ve uygulama çekmecesini Ayarlar → Uygulamalar → Tüm Uygulamalara bakın.
Google Play’e yüklenen 331 kötü amaçlı uygulamanın tamamının tam listesi burada mevcuttur.
Bu uygulamalardan herhangi birini yüklediğinizi keşfederseniz, bunları hemen kaldırın ve Google Play Protect (veya diğer mobil AV ürünleri) ile eksiksiz bir sistem taraması çalıştırın.
BleepingComputer, buhar kampanyası hakkında bir yorum için Google ile iletişime geçti, ancak yayın sırasında bir ifade mevcut değildi.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.