Araştırmacılar, 60.000’den fazla kötü niyetli Android uygulamasının, sahte güvenlik yazılımı, oyun crack’leri, hileler, VPN yazılımı, Netflix akış uygulaması ve üçüncü taraf sitelerdeki yardımcı uygulamalar kılığına girmiş reklam yazılımlarıyla altı aydan uzun bir süre boyunca dünya genelindeki kullanıcıları hedef aldığını buldu.
BitDefender araştırmacıları, esas olarak ABD’li Android kullanıcılarını hedeflediklerini söyledikleri ve geçen yılın Ekim ayında başladığına inandıkları kötü amaçlı kampanyayı keşfettiler.
Bitdefender bir gönderide ortaya çıktı kampanya ağırlıklı olarak kötü niyetli aktörlerin gelirini artırmak için reklam yazılımlarını Android’lere aktarmayı amaçlasa da, “kimlik bilgilerini ve finansal bilgileri veya fidye yazılımlarını çalmak için bankacılık Truva Atları gibi kullanıcıları diğer kötü amaçlı yazılım türlerine yönlendirmek için taktikleri kolayca değiştirebileceklerini” bu hafta yayınladı.
Gönderiye göre araştırmacılar, reklam yazılımını taşıyan 60.000 farklı uygulama keşfetti. Dahası, araştırmacılar şu anda aynı kötü amaçlı yazılımı vahşi ortamda dağıtan daha fazla uygulama olmasını beklediklerini söylediler.
Kötü amaçlı uygulamaların dağılımı, otomatik ve “organik” görünmesi açısından dikkat çekicidir. Araştırmacılar, kötü amaçlı yazılımın, kullanıcılar arkasında saklandığı uygulama türlerini aradığında ortaya çıktığını ve kötü amaçlı uygulamaların dağıtımında mevcut bir trend olduğunu söyledi. Araştırmaya göre, kurbanlar genellikle ücretli uygulamaların kilidi açılmış sürümlerini arıyor.
Araştırmacılar gönderide “Aslında, tamamen bu tür paketleri sunmaya adanmış web siteleri ile modifiye edilmiş uygulamalar popüler bir maldır” dedi. “Genellikle, modifiye edilmiş uygulamalar, tüm işlevlerinin kilidi açılmış veya ilk programlamada değişiklikler içeren değiştirilmiş orijinal uygulamalardır.”
Araştırmacılar, kullanıcılar Google’da “modifiye edilmiş” bir uygulama aramasından bir web sitesi açtıklarında, genellikle meşru bir indirme kılığına girmiş kötü amaçlı yazılımlar için bir indirme sayfası olan rastgele bir reklam sayfasına yönlendirileceklerini söyledi.
Android Kötü Amaçlı Yazılımı Nasıl Çalışır?
Araştırmacılar, API 30’dan bu yana, Google’ın bir başlatıcı kaydedildiğinde Android’deki uygulama simgesini gizleme özelliğini kaldırdığını açıkladı. Ancak, bu yalnızca uygulamanın geliştiricisi ilk etapta bir başlatıcıyı kaydettirirse geçerlidir, dediler.
Araştırmacılar, bunu atlatmak için kampanyadaki kötü amaçlı uygulamaların herhangi bir başlatıcı kaydetmediğini ve yalnızca kullanıcıya ve ilk kez çalıştırılacak varsayılan Android yükleme davranışına güvendiğini açıkladı. İndirilen bir uygulamayı kurarken, prosedürdeki son ekran bir “Açık” uygulama olacaktır; Araştırmacılar, kötü amaçlı yazılım söz konusu olduğunda, kaldırılmamasını sağlamak için gereken tek şeyin bu olduğunu söyledi. Araştırmacılara göre, bu ekranda uygulama, kullanıcıyı uygulamanın hiç yüklenmediğini düşünmesi için kandırmak için bir “uygulama kullanılamıyor” mesajı gösteriyor.
Bu daha sonra benzersiz bir tespit taktiği başlatır, gönderide açıkladılar. Araştırmacılar gönderide, bu noktada uygulamanın yüklenmediğini ve “cihaz açıldığında veya kilidi açıldığında uygulamanın başlamasına neden olan iki” amacı “kaydetmeden önce iki saat uyuduğunu” yazdı. İkinci niyetin de ilk iki gün için devre dışı bırakıldığını, başka bir tespit önleme taktiği olduğunu söylediler.
Araştırmacılar, “Daha sonra her iki saatte bir alarm tetiklenir, sunucuya bir istek yapılır ve başka bir alarm kaydedilir” diye yazdı. “Sunucu, reklam yazılımı aşamasını bilinmeyen bir zaman aralığında başlatmayı seçebilir.”
Başlatıldıktan sonra uygulama, saldırganların sunucularına ulaşır ve mobil tarayıcıda veya tam ekran WebView reklamı olarak görüntülenecek reklam URL’lerini alır. Araştırmacılar, bu noktada, saldırganların, kullanıcıları kimlik bilgilerini ve finansal bilgileri çalmak için bankacılık Truva atları veya fidye yazılımları gibi diğer kötü amaçlı yazılım türlerine yönlendirmek için yukarıda belirtilen pivotu da yapabilir.
Kötü Amaçlı Yazılım: Yaygın Bir Android Tehdidi
Bir güvenlik uzmanına göre, kampanyanın varlığı, özellikle mobil ve Android kötü amaçlı yazılımlarını engellemek için atılan sayısız adıma rağmen, tehdit aktörlerinin Android’i tehdit etkinliği için bir platform olarak kullanmaya devam etmesinin oldukça kolay olduğunu gösteriyor.
Ted ayrıca, kullanıcıları bu tür tehditlerden korumak için sürekli ihtiyatlı olma ve daha da güçlü güvenlik önlemlerine (uygulama geliştiricilerin daha sonra uygulamayla birlikte yayınlanan yaygın güvenlik ve uyumluluk sorularına yanıtlar vermesini gerektiren uygulama doğrulaması gibi) ihtiyaç duyulduğunu vurguluyor, diyor Ted. Mobil güvenlik şirketinin CEO’su Miracco onayla.
Ayrıca kampanya, “kullanıcılara, özellikle resmi olmayan kaynaklardan uygulama indirirken ve yüklerken dikkatli olmaları konusunda bir hatırlatma işlevi görüyor” diyor.
Araştırmacılar, BitDefender’ın gönderisine, kampanyanın reklam yazılımını dağıttığı bilinen ve bazılarının kötü amaçlı yazılımla ilgili olması gerekmeyen alanların bir listesini eklediğini söyledi. Ayrıca, kullanıcıların kendilerine reklam yazılımı bulaşıp bulaşmadığını tespit etmelerine yardımcı olmak için bir uzlaşma göstergeleri listesi yayınladılar.
Her zaman olduğu gibi, kullanıcı koruması için iyi bir adım, resmi uygulama mağazaları dışındaki kaynaklardan uygulama indirmekten kaçınmaktır.