Siber güvenlik araştırmacıları, tam ekran reklamlar sunmak ve kimlik avı saldırıları yapmak için Google Play Store’da yayınlanan yüzlerce kötü amaçlı uygulamadan yararlanan büyük ölçekli bir reklam sahtekarlığı kampanyası konusunda uyardı.
Bitdefender, Hacker News ile paylaşılan bir raporda, “Uygulamalar bağlam dışı reklamlar sergiliyor ve hatta kurbanları kimlik avı saldırılarında kimlik bilgileri ve kredi kartı bilgileri vermeye ikna etmeye çalışıyor.” Dedi.
Etkinliğin detayları ilk olarak bu ayın başlarında Integral AD Science (IAS) tarafından açıklandı ve sonsuz ve müdahaleci tam ekran interstisyel video reklamları dağıtmak için tasarlanmış 180’den fazla uygulamanın keşfedilmesini belgeledi. Reklam sahtekarlığı şeması buhar kodlandı.
O zamandan beri Google tarafından devredilen bu uygulamalar, meşru uygulamalar olarak maskelendi ve aralarında 56 milyondan fazla indirme topladı ve günde 200 milyondan fazla teklif talebi üretti.
IAS Tehdit Laboratuarı, “Buhar işleminin arkasındaki dolandırıcılar, her biri operasyonlarını dağıtmak ve algılamadan kaçmak için sadece bir avuç uygulama barındıran birden fazla geliştirici hesabı oluşturdu.” Dedi. Diyerek şöyle devam etti: “Bu dağıtılmış kurulum, herhangi bir hesabın yayından kaldırılmasının genel işlem üzerinde minimum etkisi olmasını sağlar.”
Görünüşte zararsız fayda, fitness ve yaşam tarzı uygulamalarını taklit ederek, operasyon istenmeyen kullanıcıları bunları yüklemeye başarıyla kandırabildi.
Bir diğer önemli husus, tehdit aktörlerinin, oynatma mağazasına yayınlamayı içeren sürümleme adı verilen sinsi bir teknik kullandığı bulunmasıdır. Özellikler müdahaleci reklamları göstermek için sonraki uygulama güncellemelerinde kaldırılır.
Dahası, reklamlar cihazın tüm ekranını ele geçirir ve kurbanın cihazı kullanmasını önler ve onu büyük ölçüde çalışmaz hale getirir. Kampanyanın bu yılın başında genişlemeden önce Nisan 2024’te başladığı değerlendirildi. Sadece Ekim ve Kasım aylarında Play Store’a 140’tan fazla sahte uygulaması yüklendi.
Romanya siber güvenlik şirketinin son bulguları, kampanyanın daha önce düşündüğünden daha büyük olduğunu ve toplamda 60 milyondan fazla indirme yapan 331 uygulamaya sahip olduğunu gösteriyor.
Uygulamanın simgesini başlatıcıdan gizlemenin yanı sıra, belirlenen uygulamaların bazıları da çevrimiçi hizmetler için kredi kartı verileri ve kullanıcı kimlik bilgileri toplamaya çalıştığı gözlemlenmiştir. Kötü amaçlı yazılım ayrıca, saldırgan kontrollü bir sunucuya cihaz bilgilerini ekspiltrasyon yapabilir.
Tespit kaçakçılığı için kullanılan bir diğer teknik, Android tabanlı TV cihazları için özel olarak tasarlanmış bir tür başlatıcı türü olan Leanback Launcher’ın kullanılması ve Google Voice taklit etmek için kendi adını ve simgesini değiştirmesidir.
Bitdefender, “Saldırganlar, daha yeni Android yinelemeleriyle sınırlı olan başlatıcıdan uygulamaların simgelerini gizlemenin bir yolunu buldular.” Dedi. “Android 13’te teknik olarak mümkün olmamasına rağmen, uygulamalar kullanıcı etkileşimi olmadan başlayabilir.”
Kampanyanın, yeraltı forumlarında satılmak üzere reklamı yapılan aynı paketleme aracını kullanan tek bir tehdit aktörünün veya birkaç siber suçun çalışması olduğuna inanılıyor.
Şirket, “İncelenen uygulamalar, ön planda çalışmasalar bile ve bunu yapmak için gerekli izinler olmadan, kullanıcılara sürekli, tam ekran reklamlarla spam göndermek için etkinlikleri başlatmak için Android güvenlik kısıtlamalarını atıyor.” “Aynı davranış, kimlik avı girişimlerini içeren UI öğelerine hizmet etmek için kullanılır.”