2016 yılında faaliyetlerine başlayan ve ilk olarak 2020 yılında Bitdefender tarafından keşfedilen Android casusluk platformu Mandrake geri döndü. Google Play kontrollerinden kaçabilen ve tespiti zorlaştıran daha güçlü bir versiyonuna dönüştü. Kaspersky casus yazılım içeren beş yeni uygulamaya rastladım.
Siber güvenlik şirketine göre, 2022’den 2024’e kadar Google Play’de mevcut olan beş uygulama, Malware’in yeni sürümünü içeriyordu. Bunlar toplu olarak 32.000’den fazla kez indirildi, çoğunlukla Kanada, Almanya, İtalya, Meksika, İspanya, Peru ve Birleşik Krallık’taki kullanıcılar tarafından.
İşte virüslü uygulamaların isimleri:
- AirFS – 30.305 kurulum
- Astro Explorer – 718 kurulum
- Amber – 19 kurulum
- CryptoPulsing – 790 kurulum
- Brain Matrix – 259 kurulum
Bu uygulamaların çoğu, kaldırılmadan önce en az bir yıl boyunca Google Play’de mevcut kaldı; bunlardan biri – AirFS – ancak Mart 2024’te kaldırıldı. Bugüne kadar, uygulamaların hiçbiri herhangi bir anti-virüs sağlayıcısı tarafından kötü amaçlı olarak işaretlenmedi.
Mandrake uygulamaları, gizlenmek için yeni katmanlarda karartma teknikleri kullandı; örneğin, karartılmış kütüphanelerde kötü amaçlı faaliyetler yürütmek ve ağ dinlemesini önlemek için sertifika sabitleme kullanmak gibi.
En çok indirilen uygulama olan AirFS, dosya paylaşım uygulaması olarak tanıtılsa da kullanıcılar uygulamanın çalışmadığını ve verilerinin çalındığını söylüyordu.
Raporda uygulamaların yapabildiği tek şeyin bu olmadığı, cihaz bilgilerini ve yüklü uygulamaların listesini efendilerine gönderebildikleri, daha fazla uygulama yükleyebildikleri, simgeleri değiştirebildikleri ve arka planda çalışma izni isteyebildikleri belirtiliyor.
Önceki sürümler gibi, yeni Mandrake platformu da üç aşamada çalışır. Sadece bir hedefin alakalı olduğu düşünüldüğünde kurbanları enfekte etmeye çalışır. Bu, verilerin gücüne göre kararlaştırılır.
Bir cihaz hedef olarak belirlendiğinde, kötü amaçlı yazılım ekranı kaydeder ve kimlik bilgilerini çalmak ve “bir sonraki aşamadaki kötü amaçlı uygulamaları indirmek ve çalıştırmak” için çerezleri toplar; bunlar Mandrake’in temel amaçlarıdır.
Yeni bir uygulama yüklemenizi sağlamak için Mandrake, Google Play’den gelmiş gibi görünen bildirimler gönderir. Android 13 ile, yan yüklenen uygulamaların doğrudan tehlikeli izin istemesini önlemek için Sınırlı Ayarlar özelliği tanıtıldı, ancak Mandrake bunu atlatabilir.
Telefonunuzda yukarıda belirtilen uygulamaları kontrol edin ve eğer bunlardan herhangi birini indirdiyseniz hemen silin.
Google şu açıklamayı yaptı: Bleeping Bilgisayar uygulamalarla ilgili olarak:
Google Play Protect, tanımlanan her uygulama ile sürekli olarak iyileşiyor. Gelecekteki canlı tehdit algılama ve kaçınma önleme teknikleriyle mücadeleye yardımcı olmak için yeteneklerini sürekli olarak geliştiriyoruz. Android kullanıcıları, Google Play Hizmetleri’ne sahip Android cihazlarda varsayılan olarak açık olan Google Play Protect tarafından bu kötü amaçlı yazılımın bilinen sürümlerine karşı otomatik olarak korunur. Google Play Protect, kötü amaçlı davranış sergilediği bilinen uygulamaları, bu uygulamalar Play dışındaki kaynaklardan gelse bile, kullanıcıları uyarabilir veya engelleyebilir.