Google Play Store’da keşfedilen kötü amaçlı bir Android SMS uygulamasının, Facebook, Google ve WhatsApp gibi çok çeşitli platformlarda hesap oluşturmak amacıyla metin mesajlarını gizlice topladığı tespit edildi.
adlı uygulama Sempozyum (com.vanjan.sms), 100.000’den fazla indirildi ve bir hesap oluşturma hizmetinin reklamını yapan bir sunucuya mesaj iletmek için bir geçiş işlevi gördü.
Bu, genellikle yeni hesaplar kurarken kullanıcıyı doğrulamak için gönderilen tek seferlik şifreyi toplamak için virüslü cihazlarla ilişkili telefon numaralarını kullanarak elde edilir.
Kötü amaçlı yazılımı keşfeden güvenlik araştırmacısı Maxime Ingrao, “Kötü amaçlı yazılım, ilk ekranda kullanıcının telefon numarasını soruyor” dedi. söz konusuayrıca SMS izinleri isterken.
“Daha sonra uygulamayı yüklüyormuş gibi yapıyor ama sürekli bu sayfada kalıyor, amacı alınan SMS’lerin arayüzünü gizlemek ve kullanıcının çeşitli hizmetlere abonelik SMS’lerini görmemesi.”
Telefon numaralarını kullanarak yasa dışı olarak kaydolan başlıca hizmetlerden bazıları arasında Amazon, Discord, Facebook, Google, Instagram, KakaoTalk, Microsoft, Nike, Telegram, TikTok, Tinder, Viber ve WhatsApp yer alıyor.
Ek olarak, kötü amaçlı yazılım tarafından toplanan veriler “goomy” adlı bir etki alanına sızar.[.]Fun”, daha önce Play Store’dan kaldırılan Virtual Number (com.programmatics.virtualnumber) adlı başka bir kötü amaçlı uygulamada kullanıldı.
Uygulamanın geliştiricisi Walven, şu adla bilinen başka bir Android uygulamasına da bağlandı: AktivasyonPW – Sanal sayılar (com.programmatics.activation), 200’den fazla ülkeden 50 sentin altında “SMS doğrulaması almak için sanal numaralar” sunduğunu iddia ediyor.
Ingrao’ya göre Symoo ve ActivationPW, dolandırıcılık planının iki ucunu temsil ediyor; burada, ilkinin kurulu olduğu saldırıya uğramış cihazların telefon numaraları, kullanıcıların ikincisi aracılığıyla hesap satın almalarına yardımcı olmak için kullanılıyor.
Google, The Hacker News’e iki uygulamanın Play Store’dan kaldırıldığını ve geliştiricinin yasaklandığını söyledi.