Google, sanal pazar aracılığıyla Joker, Facestealer ve Coper kötü amaçlı yazılım ailelerini yaydığı tespit edilen resmi Play Store’dan düzinelerce sahte uygulamayı baltalamak için adımlar attı.
Android mağazası, uygulamaları keşfetmek ve yüklemek için güvenilir bir kaynak olarak kabul edilirken, kötü niyetli kişiler, şüpheli olmayan kullanıcıları kötü amaçlı yazılım yüklü uygulamaları indirmeye ikna etme umuduyla Google tarafından oluşturulan güvenlik engellerini aşmanın yollarını defalarca bulmuşlardır.
En son bulgular Zscaler ThreatLabz ve Pradeo farklı değiller. Araştırmacılar Viral Gandhi ve Himanshu Sharma Pazartesi günkü bir raporda, “Joker, Android cihazlarını hedef alan en önde gelen kötü amaçlı yazılım ailelerinden biridir” dedi.
“Bu özel kötü amaçlı yazılım hakkında kamuoyunun bilgi sahibi olmasına rağmen, kod güncellemeleri, yürütme yöntemleri ve yük alma teknikleri dahil olmak üzere kötü amaçlı yazılımın iz imzalarını düzenli olarak değiştirerek Google’ın resmi uygulama mağazasına girmeye devam ediyor.”
Fleeceware olarak sınıflandırılan Joker (aka Bread), kullanıcıları istenmeyen ücretli hizmetlere abone etmek veya premium numaraları aramanın yanı sıra SMS mesajları, kişi listeleri ve cihaz bilgileri toplamak için tasarlanmıştır. İlk olarak 2017 yılında Play Store’da gözlemlendi.
İki siber güvenlik firması tarafından toplam 53 Joker indirme uygulaması tespit edildi ve uygulamalar kümülatif olarak 330.000’den fazla indirildi. Bu uygulamalar tipik olarak SMS, fotoğraf düzenleyiciler, kan basıncı monitörü, emoji klavyeleri ve sırayla cihazın işlemlerini gerçekleştirmesi için yükseltilmiş izinler talep eden çeviri uygulamaları olarak ortaya çıkar.
Araştırmacılar, “Joker geliştiricileri, kötü amaçlı yazılım yüklü bir sürümle değiştirmeden önce uygulamaların belirli bir yükleme ve inceleme hacmi kazanmasını beklemek yerine, kötü amaçlı yükü ticari paketleyiciler kullanarak ortak bir varlık dosyasında ve paket uygulamasında saklamaya başladılar” dedi. algılamayı atlamak için kalıcı kötü amaçlı yazılım tarafından benimsenen yeni taktik.
Geçen hafta güvenlik araştırmacısı Maxime Ingrao olarak sadece Joker değil ifşa Altı aydan uzun bir süre sonra uygulama mağazasından kaldırılmadan önce toplam üç milyondan fazla indirme yapan Autolycos adlı kötü amaçlı yazılımın farklı bir türevini içeren sekiz uygulama.
Malwarebytes araştırmacısı Pieter Arntz, “Bu türle ilgili yeni olan şey, artık bir WebView gerektirmemesidir.” söz konusu. “WebView gerektirmemek, etkilenen bir cihazın kullanıcısının şüpheli bir şey olduğunu fark etme olasılığını büyük ölçüde azaltır. Autolycos, URL’leri uzak bir tarayıcıda yürüterek ve ardından sonucu HTTP isteklerine dahil ederek WebView’den kaçınır.”
Resmi pazarda ayrıca Facestealer ve Coper kötü amaçlı yazılımlarını içeren uygulamalar da keşfedildi. İlki, operatörlerin Facebook kimlik bilgilerini ve kimlik doğrulama jetonlarını sifonlamasına olanak tanırken, Exobot kötü amaçlı yazılımının soyundan gelen Coper, çok çeşitli verileri çalabilen bir bankacılık truva atı olarak işlev görür.
Coper, “SMS metin mesajlarını yakalama ve gönderme, mesaj göndermek için USSD (Yapılandırılmamış Ek Hizmet Verileri) isteklerinde bulunma, tuş kaydetme, cihaz ekranını kilitleme/kilidini açma, aşırı saldırılar gerçekleştirme, kaldırma işlemlerini önleme ve genellikle saldırganların kontrolü ele geçirmesine ve komutları yürütmesine izin verme yeteneğine sahiptir. Araştırmacılar, bir C2 sunucusuyla uzaktan bağlantı yoluyla virüslü cihazda” dedi.
Kötü amaçlı yazılımın, diğer bankacılık truva atları gibi, kurbanın telefonunun tam kontrolünü ele geçirmek için Android’deki erişilebilirlik izinlerini kötüye kullandığı da biliniyor. Facestealer ve Coper dropper uygulamalarının listesi aşağıdaki gibidir:
- Vanilya Kamera (cam.vanilla.snapp)
- Unicc QR Tarayıcı (com.qrdscannerratedx)
Bulgular, kısmen tehdit aktörleri tarafından radarın altından uçmak için benimsenen çok sayıda gelişen taktik sayesinde, Google’ın bu tür polar yazılım ve casus yazılım uygulamalarını mobil uygulama mağazasından uzak tutmak için verdiği mücadelenin hikayesine katkıda bulunuyor.
Uygulama mağazalarından uygulama indirme konusunda genel kuralların yanı sıra, kullanıcıların uygulamalara gereksiz izinler vermekten kaçınmaları ve geliştirici bilgilerini kontrol ederek, incelemeleri okuyarak ve gizlilik politikalarını inceleyerek meşruiyetlerini doğrulamaları önerilir.