Meşru uygulamalar kılığına giren 60.000’den fazla Android uygulaması, son altı aydır fark edilmeden mobil cihazlara sessizce reklam yazılımı yüklüyor.
Keşif, geçen ay Bitdefender Mobile Security yazılımına eklenen bir anormallik algılama özelliğini kullanarak kötü amaçlı uygulamaları tespit eden Rumen siber güvenlik firması Bitdefender’dan geldi.
Rumen siber güvenlik firması Bitdefender, “Bugüne kadar Bitdefender, reklam yazılımını taşıyan tamamen farklı 60.000 örnek (benzersiz uygulamalar) keşfetti ve vahşi ortamda çok daha fazlası olduğundan şüpheleniyoruz.”
Kampanyanın Ekim 2022’de başladığına inanılıyor ve üçüncü taraf sitelerde sahte güvenlik yazılımı, oyun crackleri, hileler, VPN yazılımı, Netflix ve yardımcı uygulamalar olarak dağıtılıyor.
Kötü amaçlı yazılım kampanyası ağırlıklı olarak Amerika Birleşik Devletleri’ndeki kullanıcıları hedefliyor, ardından Güney Kore, Brezilya, Almanya, Birleşik Krallık ve Fransa geliyor.
Kaynak: Bitdefender
Tespit edilmekten kaçınmak için gizlice kurulur
Kötü amaçlı uygulamalar Google Play’de değil, mobil uygulamaları manuel olarak yüklemenize olanak tanıyan APK’ları, Android paketlerini zorlayan Google Arama’daki üçüncü taraf web sitelerinde barındırılır.
Siteleri ziyaret ettiğinizde, ya reklam gösteren web sitelerine yönlendirileceksiniz ya da aranan uygulamayı indirmeniz istenecek. İndirme siteleri, kötü amaçlı Android uygulamalarını, yüklendiğinde Android cihazlara reklam yazılımı bulaştıran bir APK olarak dağıtmak için bilerek oluşturulur.
Uygulama yüklendiğinde, ek ayrıcalıklar gerektirdiğinden kendisini otomatik olarak çalışacak şekilde yapılandırmaz. Bunun yerine, kullanıcılardan bir uygulamayı yüklendikten sonra ‘Açmalarını’ isteyen normal Android uygulama yükleme akışına dayanır.
Ayrıca, uygulamalar bir simge kullanmaz ve uygulamanın etiketinde bir UTF-8 karakterine sahiptir, bu da fark edilmesini zorlaştırır. Bu, iki ucu keskin bir kılıçtır, çünkü aynı zamanda bir kullanıcı uygulamayı kurduktan sonra başlatmazsa, muhtemelen daha sonra başlatılmayacaktır.
Başlatılırsa uygulama, “Uygulama bölgenizde kullanılamıyor. Kaldırmak için Tamam’a dokunun” şeklinde bir hata mesajı görüntüler.
Bununla birlikte, gerçekte, uygulama kaldırılmaz, ancak cihaz önyüklendiğinde veya cihazın kilidi açıldığında uygulamanın başlamasına neden olan iki ‘niyeti’ kaydetmeden önce iki saat boyunca uyur. Bitdefender, ikinci niyetin ilk iki gün boyunca devre dışı bırakıldığını ve muhtemelen kullanıcı tarafından tespit edilmekten kurtulacağını söylüyor.
Kaynak: Bitdefender
Başlatıldığında, uygulama saldırganların sunucularına ulaşacak ve mobil tarayıcıda veya tam ekran WebView reklamı olarak görüntülenecek reklam URL’lerini alacaktır.
Kötü amaçlı uygulamalar şu anda yalnızca reklam görüntülemek için kullanılsa da, araştırmacılar, tehdit aktörlerinin reklam yazılımı URL’lerini daha kötü niyetli web siteleri için kolayca değiştirebileceği konusunda uyarıyorlar.
Bitdefender, “Analiz üzerine, kampanya, geliri artırmak amacıyla agresif bir şekilde reklam yazılımlarını Android cihazlara itmek için tasarlandı” diye uyarıyor.
“Ancak, dahil olan tehdit aktörleri, kimlik bilgilerini ve finansal bilgileri veya fidye yazılımlarını çalmak için bankacılık Truva Atları gibi kullanıcıları diğer kötü amaçlı yazılım türlerine yönlendirmek için kolayca taktik değiştirebilir.”
Android cihazlar, kötü amaçlı yazılımlara karşı daha iyi denetlenemedikleri Google Play Store dışında uygulamalar yükleyebildikleri için kötü amaçlı yazılım geliştiricileri tarafından yüksek oranda hedeflenir.
Ancak tehdit aktörleri, kötü amaçlı uygulamaların geniş çapta dağıtılmasına izin vererek Google Play’de bile tespit edilmekten kaçınmaya devam ediyor.
Daha geçen hafta, Dr. Web ve CloudSEK’ten araştırmacılar, Google Play’deki uygulamalardan Android cihazlara 400 milyondan fazla kez yüklenmiş kötü amaçlı bir casus yazılım SDK’sı keşfettiler.
Google Play, kötü amaçlı uygulamalardan hâlâ payına düşeni alsa da, Android uygulamalarınızı resmi Android mağazasından yüklemek çok daha güvenlidir. Kötü amaçlı yazılımlar için yaygın bir vektör olduklarından, üçüncü taraf sitelerden herhangi bir Android uygulaması yüklememeniz de şiddetle tavsiye edilir.