Kötü amaçlı yazılım geliştiricileri, siber suçluların talep ettiği kötü niyetli davranışın türüne bağlı olarak Google Play’e 2.000 ila 20.000 ABD Doları karşılığında kötü amaçlı Android uygulamaları ekleme sözü veren gelişen bir pazar yarattı.
Bu hizmetlerin kesin fiyatı, bilgisayar korsanı forumlarında veya Telegram kanallarında duruma göre müzakere edilir ve siber suçluların kötü amaçlı Android uygulamalarını kendi kötü amaçlı yazılımları veya işlevleriyle özelleştirmelerine olanak tanır.
Google Play, milyarlarca kullanıcıdan oluşan bir kitleye ulaşan mobil cihazlara uygulama yüklemenin güvenilir ve güvenli bir yolu olarak tanıtılan Android’in resmi uygulama mağazasıdır.
Bu nedenle, güvenilir Google Play mağazasına kötü amaçlı bir Android uygulaması ekleyebilmek, kimlik bilgilerini ve verileri çalmak, mali dolandırıcılık yapmak veya istenmeyen reklamlar sunmak için geniş bir hedef tabanı sağlar.
Gelişen bir Android kötü amaçlı yazılım pazarı
Kaspersky’nin yeni bir raporunda araştırmacılar, tehdit aktörlerinin Android kötü amaçlı yazılım uygulamalarının Google Play’e eklenmesini vaat eden hizmetleri nasıl sunduğunu gösteriyor.
Bu hizmetler, tehdit aktörlerinin hizmetlerini tanıtmasına olanak tanıyan Telegram, karanlık web pazar yerleri ve bilgisayar korsanlığı forumları aracılığıyla sunulur.
Kötü amaçlı yazılım geliştiricileri, kötü amaçlı yazılımı antivirüs programları, kripto para birimi varlık yöneticileri, QR kodu tarayıcıları, küçük oyunlar ve flört uygulamalarını taklit eden yasal görünümlü uygulamalarda gizlemeyi vaat ediyor.
Kaspersky, ortalama yaklaşık 7.000 ABD dolarına satılan Google Play yükleyicilerinin yanı sıra, siber suçluların kötü amaçlı yazılım gizleme gibi hizmetleri de 8 ila 30 ABD dolarına veya “temiz” Google geliştirici hesaplarını 60 ABD dolarına sattığını bildirdi.
Bu kötü amaçlı ancak zararsız görünen uygulamalar Google Play’de yayınlanır, ancak daha sonraki bir güncelleme yoluyla kötü amaçlı kod getirme özelliğini içerir. Alternatif olarak, kullanıcılar harici bir kaynaktan başka bir uygulama yüklemek için bir bildirim alabilir.
Bu hizmetler, uygulamanın Google Play’de en az bir hafta kalacağını garanti eder ve bazı geliştiriciler en az 5.000 yükleme sözü verir.
Kurulumun ardından kötü amaçlı yazılım yükleyici uygulamaları, kullanıcıdan telefonun kamerasına, mikrofonuna veya Erişilebilirlik Hizmetlerine erişim gibi riskli izinler vermesini ister ve istekler onaylanana kadar uygulamanın ana işlevlerine erişimi engeller.
Ardından, bu uygulamaların yazarları, yükleyicilerine erişimi ilgili alıcılara satar ve onları ek yükler eklemeye ayarlar.
Kaspersky tarafından görülen bazı durumlarda satıcılar, karlarını en üst düzeye çıkarmak için yükleyicilerini 1.500 ABD Dolarından başlayan ve “anında satın alma” fiyatını 7.000 ABD Doları olarak belirleyen açık artırmaya çıkarır.
Satıcılar, bu yükleyicileri tanıtmak için özelliklerini, kullanıcı dostu arayüzü, ayrıntılı hedefleme filtrelerini ve daha fazlasını gösteren videolar yayınlar.
Kaspersky, “Siber suçlular, truva atına bulaştırılmış uygulamaya bir hata ayıklayıcı veya korumalı alan ortamını algılama işlevi de ekleyebilir” diye açıklıyor.
“Şüpheli bir ortam algılanırsa, yükleyici faaliyetlerini durdurabilir veya siber suçluya güvenlik müfettişleri tarafından büyük olasılıkla keşfedildiğini bildirebilir.”
Siber suçlular, Google Play yükleyicileri aracılığıyla yapılan kötü amaçlı yazılım yüklemelerinin sayısını artırmak için müşterileri adına Google Reklam kampanyaları yürütmeyi de teklif edebilir.
Siber suçlular, yükleyicilere ek olarak, Google’ın güvenlik kontrollerini geçebilecek meşru uygulamalarda tüm kötü amaçlı APK’ları gizlemeyi içeren sözde “bağlayıcı” hizmetler de sunar.
Siber güvenlik şirketi ThreatFabric de Aralık 2022’de ‘Zombinder’ adlı benzer bir hizmetin Erbium Stealer’ı binlerce kurbana yönelttiğini bildirdi.
Bu hizmetlerin maliyeti, dosya başına 50 ila 100 ABD Doları arasında talep eden yükleyicilere kıyasla önemli ölçüde daha düşüktür.
Bu gizli saldırılara karşı savunma yapmak için Android kullanıcıları, uygulama yüklenirken istenen izinleri dikkatlice incelemeli, Google Play’deki kullanıcı yorumlarını kontrol etmeli ve yüklü uygulama sayısını minimumda tutmalıdır.
Daha da önemlisi, kötü amaçlı yazılımlar için yaygın bir dağıtım yöntemi olduklarından, asla üçüncü taraf sitelerden Android APK’ları yüklemeyin.