Spotify, WhatsApp ve Minecraft ile ilişkili meşru Android uygulamalarının değiştirilmiş sürümleri, Necro adı verilen bilinen bir kötü amaçlı yazılım yükleyicisinin yeni bir sürümünü sunmak için kullanıldı.
Kaspersky, kötü amaçlı uygulamalardan bazılarının Google Play Store’da da bulunduğunu söyledi. Toplamda 11 milyon kez indirildiler. Bunlar arasında şunlar yer alıyor:
- Wuta Kamera – Her Zaman Güzel Çekim (com.benqu.wuta) – 10+ milyon indirme
- Max Browser-Özel ve Güvenlik (com.max.browser) – 1+ milyon indirme
Yazım tarihi itibarıyla Max Browser artık Play Store’dan indirilemiyor. Öte yandan Wuta Camera kötü amaçlı yazılımı kaldırmak için güncellendi (sürüm 6.3.7.138). Uygulamanın en son sürümü olan 6.3.8.148, 8 Eylül 2024’te yayınlandı.
Her iki uygulamanın da kötü amaçlı yazılımla nasıl tehlikeye atıldığı henüz netlik kazanmadı ancak suçlunun reklam yeteneklerini entegre eden bir sahte yazılım geliştirici kiti (SDK) olduğu düşünülüyor.
Necro (aynı isimli botnet ile karıştırılmamalıdır) ilk olarak 2019 yılında Rus siber güvenlik şirketi tarafından CamScanner adlı popüler bir belge tarama uygulamasının içine gizlendiğinde keşfedildi.
CamScanner daha sonra sorunun, AdHub adlı üçüncü tarafça sağlanan bir reklam SDK’sından kaynaklandığını ve bu SDK’nın uzak bir sunucudan bir sonraki aşama kötü amaçlı yazılımları almak için kötü amaçlı bir modül içerdiğini, esasen her türlü kötü amaçlı yazılımın kurban cihazlara yüklenmesi gibi davrandığını söyledi.
Kötü amaçlı yazılımın yeni sürümü de farklı değil, ancak tespit edilmekten kaçınmak için karartma teknikleri kullanıyor; özellikle de yükleri gizlemek için steganografiden yararlanıyor.
Kaspersky araştırmacısı Dmitry Kalinin, “İndirilen yükler, diğer şeylerin yanı sıra, görünmez pencerelerde reklamlar gösterebilir ve bunlarla etkileşime girebilir, keyfi DEX dosyalarını indirip çalıştırabilir, indirdiği uygulamaları yükleyebilir” dedi.
“Ayrıca görünmez WebView pencerelerinde keyfi bağlantılar açabilir ve bunlarda herhangi bir JavaScript kodunu çalıştırabilir, kurbanın cihazında bir tünel açabilir ve potansiyel olarak ücretli hizmetlere abone olabilir.”
Necro için öne çıkan teslimat araçlarından biri, resmi olmayan sitelerde ve uygulama mağazalarında barındırılan popüler uygulamaların ve oyunların modlanmış sürümleridir. Uygulamalar indirildikten sonra, Coral SDK adlı bir modülü başlatır ve bu da uzak bir sunucuya bir HTTP POST isteği gönderir.
Sunucu daha sonra adoss.spinsok’ta barındırıldığı iddia edilen bir PNG resim dosyasına giden bir bağlantıyla yanıt verir[.]com’a gider ve ardından SDK, ana yükü (Base64 kodlu bir Java arşivi (JAR) dosyası) buradan çıkarmaya devam eder.
Necro’nun kötü amaçlı işlevleri, komuta ve kontrol (C2) sunucusundan indirilen bir dizi ek modül (diğer adıyla eklentiler) aracılığıyla gerçekleştirilir ve bu sayede enfekte olmuş Android cihazda çok çeşitli eylemler gerçekleştirilebilir –
- NProxy – Kurbanın cihazı üzerinden bir tünel oluşturun
- ada – Müdahaleci reklamların görüntülenmesi arasındaki zaman aralığı (milisaniye cinsinden) olarak kullanılan sözde rastgele bir sayı üret
- web – Belirli bağlantıları yüklerken periyodik olarak bir C2 sunucusuyla iletişim kurun ve yükseltilmiş izinlere sahip keyfi kodu çalıştırın
- Cube SDK – Arkaplandaki reklamları yönetmek için diğer eklentileri yükleyen bir yardımcı modül
- Dokunma – Reklamları gizlice yüklemek ve görüntülemekten sorumlu olan C2 sunucusundan rastgele JavaScript kodunu ve bir WebView arayüzünü indirin
- Happy SDK/Jar SDK – NProxy ve web modüllerini bazı küçük farklılıklarla birleştiren bir modül
Happy SDK’nin keşfi, kampanyanın arkasındaki tehdit aktörlerinin modüler olmayan bir sürümü de denediği ihtimalini gündeme getirdi.
Kalinin, “Bu, Necro’nun son derece uyarlanabilir olduğunu ve belki de yeni özellikler sunmak için kendisinin farklı yinelemelerini indirebileceğini gösteriyor” dedi.
Kaspersky tarafından toplanan telemetri verileri, 26 Ağustos – 15 Eylül 2024 tarihleri arasında dünya çapında on binden fazla Necro saldırısının engellendiğini gösteriyor. En fazla saldırı Rusya, Brezilya, Vietnam, Ekvador, Meksika, Tayvan, İspanya, Malezya, İtalya ve Türkiye’ye yapıldı.
Kalinin, “Bu yeni sürüm, mobil kötü amaçlı yazılımlar için çok nadir kullanılan bir teknik olan ikinci aşama yükünü gizlemek için steganografi ve tespit edilmekten kaçınmak için karartma kullanan çok aşamalı bir yükleyicidir” dedi.
“Modüler mimari, Truva atının yaratıcılarına, enfekte olmuş uygulamaya bağlı olarak yükleyici güncellemelerinin veya yeni kötü amaçlı modüllerin hem toplu hem de hedefli dağıtımı için geniş bir seçenek yelpazesi sunuyor.”