Kullanıcıları gizlice ücretli hizmetlere kaydeden ve dolandırıcılar için faturalandırılan paradan kesinti yapan birkaç Android mobil Truva atı doğada dolaşıyor. Bunların çoğu, Google Play’in resmi uygulama mağazası güvenlik önlemlerini aşıyor.
Son birkaç aydır bu en son sözde “polar giyim” tehditlerini izleyen Kaspersky araştırmacıları, kötü amaçlı yazılımın genellikle ücretli hizmetler için sitelerdeki bot algılama mekanizmalarını atlayabildiğini ve hatta şüpheli olmayan mobil cihaz kullanıcılarını dolandırıcılara abone olabildiğini söylüyor. ‘ kendi var olmayan hizmetler.
Kötü amaçlı yazılım genellikle sağlık uygulamaları, fotoğraf editörleri ve Google Play mobil uygulama mağazasındaki ve diğer mağazalardaki popüler oyunlar gibi zararsız mobil uygulamalarda gizlenir. Kaspersky, silahlaştırılmış uygulamaların neredeyse algılanıp kaldırıldığı kadar hızlı bir şekilde yeniden ortaya çıkmaya devam ettiğini söyledi.
Uygulamaların çoğu, kullanıcının bildirimlerine ve mesajlarına erişmek için izin ister. Bu izinler verilirse, kötü amaçlı yazılım abonelikleri için onay kodlarını içeren mesajları yakalar ve ele geçirir, bu nedenle kullanıcıları ücretli bir hizmete henüz abone olduklarından habersiz bırakır.
Bir raporda, Kaspersky en yaygın dört tanesini vurgular Son aylarda gözlemlediği bu kategorideki Truva atları – Joker (firmanın adı Jocker), MobOk, GriftHorse.l ve Vesub. Satıcı, Android cihaz kullanıcılarının şaşırtıcı bir şekilde %70’inin bir noktada bunun gibi abonelik Truva Atlarıyla karşılaştığını tahmin ediyor.
En Kötü Dört
Kaspersky, MobOk’u dört tehditten en aktif olanı olarak tanımlar. Kötü amaçlı yazılım ilk olarak Google Play’deki virüslü bir uygulamada tespit edildi, ancak daha yakın zamanlarda Triada’nın bir yükü olarak dağıtıldığı görüldü – genellikle bazı akıllı telefonlarda önceden yüklenmiş sistem uygulamalarının içinde gizlenen başka bir mobil Truva atı. Kaspersky, APK Pure Android mobil uygulama mağazasında, satıcının WhatsApp Messenger’ın yaygın olarak kullanılan bir modifikasyonu olarak tanımladığı şeyin içinde gizlenmiş kötü amaçlı yazılımı gözlemlediğini söylüyor.
Bir sisteme yüklendikten sonra MobOk, görünmez bir pencerede ücretli bir hizmete abonelik sayfası açarak çalışır. Kötü amaçlı yazılıma kullanıcının bildirim hizmetine erişim izni verildiyse, ücretli hizmetin cihaza gönderebileceği herhangi bir onay kodunu yakalar ve bunu aboneliği onaylamak için kullanır. Kaspersky, MobOk’u diğer mobil Truva atlarından ayıran bir özelliğinin, abonelik sitelerinde CAPTCHA’ları çözme yeteneği olduğunu söylüyor. Satıcının gözlemlediği MobOk enfeksiyonlarının çoğu Rusya’daydı, bunu Hindistan ve Endonezya izledi.
Bu arada Joker, Kaspersky’nin kısa süre önce mesajlaşma uygulamaları, tansiyon izleme yazılımı, belge tarama uygulamaları ve Google Play’deki diğer ürünler içinde gizlenmiş olarak bulduğu kötü amaçlı yazılımdır. Joker, resmi uygulama mağazasına sızmaya devam etmek için taktiklerini sürekli değiştiren uzun zamandır bilinen bir mobil tehdittir.
Kaspersky, çoğu durumda dolandırıcıların bu uygulamaların yasal sürümlerini Google’ın uygulama mağazasından indirdiğini, ardından buna Joker kodunu ekleyerek farklı bir adla mağazaya yeniden yüklediğini söylüyor. Kötü amaçlı yazılım, Google’ın uygulama inceleme süreci sırasında uykuda kalacak, ancak uygulama yayına girdiğinde aktif hale gelecek şekilde kodlandı. MobOk gibi, Joker de onay kodlarını içeren metin mesajlarını veya bildirimleri engellemek ve bunları kullanıcıların bilgisi dışında ücretli abonelik hizmetlerine kaydolmak için kullanmak üzere tasarlanmıştır.
Kötü amaçlı yazılımın mevcut sürümü, kötü amaçlı yazılımın son bileşenini son kullanıcı sistemlerine yüklemek için dört dosya içeren aşamalı bir indirme işlemi kullanır. Kaspersky, kötü amaçlı yazılım tespit mekanizmalarından kaçınmaya çalışmak için tekniği benimsediğini belirtiyor. Şirketten araştırmacılar, kötü amaçlı yazılımın en sık Suudi Arabistan, Polonya ve Almanya’daki Android kullanıcılarına karşı kullanıldığını gözlemledi.
Bu arada Vesub, Android kullanıcılarının resmi olmayan uygulama mağazalarında karşılaşabileceği mobil kötü amaçlı yazılımdır. Kötü amaçlı yazılım, aslında hiçbir meşru işlevsellik içermeyen popüler oyun uygulamalarının sahte sürümlerinde gizlidir. Yüklendiğinde, kötü amaçlı yazılım hemen kullanıcıları ücretli hizmetlere abone olmaya başlarken, kullanıcının gördüğü tek şey uygulamanın hala yüklenmekte olduğunu gösteren bir penceredir. Çoğu abonelik Truva Atı gibi, Vesub yalnızca kısa mesajlara veya bildirimlere erişim izni verilmişse çalışır. Kaspersky, kötü amaçlı yazılımın Mısır, Tayland ve Malezya’da baskın olduğunu buldu.
Ve son olarak, GriftHorse.l, kullanıcıları bir ücret karşılığında bir kilo verme planına almayı vaat eden uygulamalar gibi kötü amaçlı yazılımın yazarının kendi ücretli hizmetlerine abone olması bakımından diğer kötü amaçlı yazılımlardan farklıdır. Kaspersky, bu planlara kaydolan kullanıcıların bunu genellikle periyodik ödemeler ve otomatik faturalandırma içeren bir hizmete kaydolduklarının farkında olmadan yaptıklarını söylüyor.
Zimperium’daki tehdit raporlama direktörü Richard Melick, bunlar gibi kötü amaçlı yazılımların yalnızca tüketiciye yönelik bir tehdit olarak görülmemesi gerektiğini söylüyor. E-postayla gönderilen yorumlarda, “Her büyüklükteki kuruluş, BYOD dünyasında yalnızca tüketiciye yönelik bir tehdit diye bir şey olmadığını anlamaya başlamalı” dedi. “Joker ve uzun süredir devam eden diğer kötü amaçlı yazılımlar her güncellemeden geçtiğinde, kritik verileri, hizmetleri ve saldırı yüzeylerini riske atmaya devam ediyorlar.”
Güvenlik ekiplerinin, geleneksel cihazlarda olduğu gibi mobil uç noktalar için de aynı tür güvenlik mimarisine sahip olduklarından emin olmaları gerekir.
Hem Google hem de Apple, dolandırıcıların ilgili mobil uygulama mağazalarına kötü amaçlı yazılım yüklemesini önlemek için yıllar içinde çok sayıda önlem aldı. Önlemler, kötü amaçlı uygulamaları belirli bir ölçüde sınırlamaya yardımcı olsa da, güvenlik sağlayıcıları bu mağazalarda düzenli olarak kötü amaçlı yazılım bulmaya devam etti. Daha geçen ay, örneğin Google, gerçekte SharkBot adlı bir bankacılık Truva atını düşürmek için kullanılan meşru antivirüs araçları gibi görünen en az altı uygulamayı kaldırmak için çabaladı. Check Point, kötü amaçlı yazılım araçlarının, Google bunları Google Play’den kaldırmadan önce 15.000’den fazla indirildiğini tahmin ediyor.