Yeni Android Kötü Amaçlı Yazılım Kampanyası
Son zamanlarda, Hugging Face platformunu kötüye kullanan bir Android kötü amaçlı yazılım kampanyası, popüler mali ve ödeme hizmetleri için kimlik bilgilerini toplayan binlerce APK varyantı dağıtmaktadır. Bu durum, kullanıcıların güvenliğini tehdit eden ciddi bir siber güvenlik sorunu olarak ön plana çıkıyor.
Saldırı Nasıl Çalışıyor?
Araştırmacılar, Romanya merkezli siber güvenlik şirketi Bitdefender’in keşfettiği bu saldırı kampanyasında, kurbanların TrustBastion adlı bir dropper uygulamasını kurmaya ikna edildiğini göstermektedir. Bu uygulama, cihazın virüslü olduğu konusunda korkutucu reklamlar göstererek kullanıcıları manipüle eder, güvenlik aracı olarak gizlenmiştir ve dolandırıcılık, sahte SMS mesajları gibi tehditleri tespit ettiğini iddia eder.
- TrustBastion kurulduktan hemen sonra, hileli bir güncelleme uyarısı verir ve bu uyarılar Google Play’i taklit eden görseller içerir.
- Uygulama, doğrudan kötü amaçlı yazılım sunmak yerine, trustbastion[.]com ile bağlantılı bir sunucu ile iletişim kurar ve bu sunucu, kötü amaçlı APK’yı barındıran bir Hugging Face veri seti deposuna yönlendirir.
Bitdefender’e göre, bu kampanya sürekli olarak yeni yük varyantları üretebilmek için sunucu tarafında polimorfizm kullanmaktadır ve her 15 dakikada bir değişiklik yapmaktadır.
Etkilenen Sistemler
Kötü amaçlı yazılım, Android’in Erişim Hizmetleri‘ni istismar ederek kullanıcının ekranını izleyebilir, dokunma hareketlerini gerçekleştirebilir, kaldırma girişimlerini engelleyebilir ve daha fazlasını yapabilir.
Ana yük, ismi olmayan bir uzaktan erişim aracı (RAT) olup, kullanıcı aktivitelerini izler ve ekran görüntüleri alarak bilgileri operatörlere aktarır. Ayrıca, Alipay ve WeChat gibi finansal hizmetleri taklit eden sahte giriş arayüzleri sunarak kimlik bilgilerini çalmaya yönelik etkili bir yöntem izler ve ekran kilidi kodunu çalmaya çalışır.
Çözüm ve Korunma
Bitdefender, Hugging Face’e kötüye kullanılan veri setlerinin durumu hakkında bilgi verdi, ardından Hugging Face bu veri setlerini kaldırdı. Kullanıcıların aşağıdaki önlemleri alması önerilmektedir:
- Üçüncü taraf uygulama mağazalarından uygulama indirmekten kaçının.
- Uygulamaların talep ettiği izinleri gözden geçirin.
- Uygulamanın işlevselliği için gerekli olan izinlerin doğruluğunu kontrol edin.
Google’ın açıklamasına göre, mevcut tespitlerde Google Play’de bu kötü amaçlı yazılımı içeren hiçbir uygulama bulunmamaktadır ve Android cihazlar, Google Play Protect ile otomatik olarak korunmaktadır.
Sonuç
Android kullanıcılarının, kötü amaçlı yazılımlardan korunmak için uygulama indirme alışkanlıklarını gözden geçirmesi, güncellemeleri zamanında yapması ve yalnızca güvenilir kaynaklardan uygulama edinmesi kritik öneme sahiptir. Şüpheli uygulamaları hızlıca kaldırmak ve izinleri dikkatlice incelemek, kişisel verilerinizi güvence altına almanın en etkili yollarından biridir.
