Ekim 2022’den beri devam eden bir kampanyanın parçası olarak, Android için binlerce reklam yazılımı uygulamasının, kullanıcıları istenmeyen reklamlar sunmaya yönlendirmek için popüler uygulamaların çatlakları veya değiştirilmiş sürümleri gibi davrandığı tespit edildi.
Bitdefender, The Hacker News ile paylaşılan bir teknik raporda, “Kampanya, geliri artırmak amacıyla agresif bir şekilde reklam yazılımlarını Android cihazlara itmek için tasarlandı.” Dedi. “Ancak, dahil olan tehdit aktörleri taktikleri kolayca değiştirebilir.
kimlik bilgilerini ve finansal bilgileri veya fidye yazılımlarını çalmak için kullanıcıları bankacılık Truva Atları gibi diğer kötü amaçlı yazılım türlerine yönlendirin.”
Rumen siber güvenlik şirketi, reklam yazılımı taşıyan 60.000 benzersiz uygulama keşfettiğini ve tespitlerin çoğunun ABD, Güney Kore, Brezilya, Almanya, Birleşik Krallık, Fransa, Kazakistan, Romanya ve İtalya’da olduğunu söyledi.
Uygulamaların hiçbirinin resmi Google Play Store aracılığıyla dağıtılmadığını belirtmekte fayda var. Bunun yerine, bir arama motorunda Netflix, PDF görüntüleyiciler, güvenlik yazılımı ve YouTube’un kırık sürümleri gibi uygulamaları arayan kullanıcılar, kötü amaçlı yazılımı barındıran bir reklam sayfasına yönlendirilir.
Uygulamalar bir kez yüklendikten sonra, tespit edilmekten kaçınmak için hiçbir simgeye veya ada sahip değildir. Ayrıca, kurulumdan sonra ilk kez bir uygulamayı başlatan kullanıcılara “Uygulama, uygulamanın hizmet verdiği bölgede kullanılamıyor. Kaldırmak için Tamam’a dokunun” mesajı görüntüleniyor ve arka planda kötü amaçlı etkinlik gizlice etkinleştiriliyor.
İşleyiş şekli, reklam yazılımı davranışının ilk birkaç gün uykuda kaldığı, ardından kurban Android WebView kullanarak tam ekran bir reklam sunmak için telefonun kilidini açtığında uyandığı başka bir not alanıdır.
Bulgular, siber güvenlik firması CloudSEK’in, Google Play Store’da 30 milyon kez indirilen 193 uygulamada geçen ay Doctor Web tarafından ortaya çıkarılan haydut SpinOK SDK’yı tespit ettiğini açıklamasının ardından geldi.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Oturuma Katılın
Yüzeyde SpinOk modülü, iddia edilen ödülleri kazanmak için mini oyunlar ve görevler yardımıyla kullanıcıların uygulamalara olan ilgisini sürdürmek için tasarlanmıştır. Ancak içeriye bakın, truva atı, dosyaları çalmak ve pano içeriğini değiştirmek için işlevler barındırır.
İlgili bir geliştirmede, SonicWall Capture Labs Threat araştırma ekibi, işletim sisteminin erişilebilirlik hizmetlerini kötüye kullanarak güvenliği ihlal edilmiş telefonlardan geniş bir yelpazede bilgi toplamak için yasal uygulamaları taklit eden başka bir Android kötü amaçlı yazılım türünü de ortaya çıkardı.
SonicWall, “Bu özellikler, saldırganın kurbanın cihazındaki değerli bilgilere erişmesine ve bu bilgileri çalmasına olanak tanır, bu da finansal dolandırıcılık ve kimlik hırsızlığı da dahil olmak üzere çeşitli dolandırıcılık türlerine yol açabilir” dedi.