Google, riskli izinlere erişim isteyen Android APK dosyalarının dışarıdan yüklenmesini engelleyerek mali dolandırıcılıkla mücadele etmek için yeni bir pilot program başlattı.
APK (Android Paketi), Android uygulamalarını işletim sistemine kurulmak üzere dağıtmak için kullanılan bir dosya biçimidir. Bu dosyalar genellikle üçüncü taraf siteler aracılığıyla dağıtılır ve Google Play dışında uygulama yüklemenize olanak tanır.
Ancak bu harici siteler, uygulamaları kötü amaçlı davranışlar açısından incelemediğinden kötü amaçlı yazılım, casus yazılım ve diğer tehditleri içerebilir.
Google Play’e kötü uygulamalar yüklemenin karmaşıklığı ve zorluğu nedeniyle, tehdit aktörleri, hedefleri harici, incelenmemiş kaynaklardan kötü amaçlı uygulamalar indirmeye ikna etmek için çeşitli tuzaklar kullanarak sosyal mühendisliğe geri dönüyor.
Bu APK’lar, mağdurları hassas kişisel ve finansal bilgileri ifşa etmeleri için kandırarak tehdit aktörlerinin mali dolandırıcılık yapmasına olanak tanıyor.
Google, 2023 yılı boyunca Android platformundaki dolandırıcılıkların kullanıcılara 1 trilyon dolardan fazla zarara yol açtığını ve ankete katılan kullanıcıların %78’inin en az bir dolandırıcılık girişimi yaşadığını bildirdiğini söylüyor.
Riskli uygulamaları engelleme
Ekim 2023’te Google Play Protect, üçüncü taraf uygulama mağazalarından ve web sitelerinden indirilen APK’ları gerçek zamanlı olarak tarayan yeni bir güvenlik özelliği aldı.
Bu özellik Hindistan, Tayland, Brezilya ve Singapur gibi büyük pazarlarda kullanıma sunuldu ve bu yıl daha fazla ülkeye ulaşması bekleniyor.
Google, bu özelliğin 515.000 istenmeyen uygulamayı tespit ettiğini ve 3,1 milyon yükleme konusunda uyardığını veya engellediğini söylüyor.
İstenmeyen uygulamalara karşı korumayı daha da güçlendirmek için Google şimdi Singapur’da aşağıdaki riskli izinlere erişim isteyen APK’ların kurulumunu doğrudan engelleyecek bir pilot uygulama başlatıyor:
- RECEIVE_SMS – Saldırganlar bunu tek kullanımlık şifrelere (OTP’ler) veya SMS yoluyla gönderilen kimlik doğrulama kodlarına müdahale etmek için kullanır ve kurbanların hesaplarına yetkisiz erişime olanak tanır.
- READ_SMS – Saldırganlar tarafından OTP’ler, banka mesajları veya kişisel iletişimler gibi hassas bilgileri kullanıcının bilgisi olmadan okumak için kötüye kullanılır.
- BIND_Bildirimler – Saldırganlar, güvenlik uyarıları veya OTP bildirimleri de dahil olmak üzere yasal uygulamalardan gelen bildirimleri potansiyel olarak kullanıcı fark etmeden okumak veya reddetmek için bunu kullanır.
- Ulaşılabilirlik – Engelli kullanıcılara yardımcı olmayı amaçlayan bu izin, kötü amaçlı APK uygulamasına cihazı ve işlevlerini kontrol etmek için geniş erişim sağlar. Saldırganlar, kullanıcının eylemlerini izlemek, hassas verileri almak, tuş vuruşlarını girmek ve komutları uzaktan yürütmek için bunu kötüye kullanır ve bu da genellikle cihazın tamamen tehlikeye girmesine yol açar.
Google’ın raporunda “Bu hassas çalışma zamanı izinlerinden yararlanan başlıca sahtekarlık amaçlı kötü amaçlı yazılım aileleri üzerinde yaptığımız analize dayanarak, kurulumların yüzde 95’inden fazlasının İnternet üzerinden yükleme kaynaklarından geldiğini tespit ettik” ifadeleri yer alıyor.
“Yaklaşan pilot uygulama sırasında, Singapur’daki bir kullanıcı İnternet üzerinden yükleme yapan bir kaynaktan bir uygulama yüklemeye çalıştığında ve bu dört izinden herhangi biri bildirildiğinde, Play Koruma, kullanıcıya bir açıklama yaparak kurulumu otomatik olarak engelleyecektir.”
BleepingComputer, Google’a bu yeni koruma özelliğini dünyanın geri kalanına sunma planlarını sordu; daha fazlasını öğrenir öğrenmez bu yayını güncelleyeceğiz.
Bu arada, Android kullanıcılarına mümkün olduğunca APK indirmekten kaçınmaları, uygulama kurulumu sırasında istenen izinleri incelemeleri ve Play Koruma taramalarını düzenli olarak çalıştırmaları tavsiye ediliyor.