Adlı yeni bir Android aboneliği kötü amaçlı yazılımı benekli 2022’den bu yana toplamda 620.000’den fazla indirilerek Google Play Store’da ortaya çıkarıldı.
Resmi uygulama vitrininde 11 uygulama tespit eden Kaspersky, kötü amaçlı yazılımın meşru fotoğraf düzenleme uygulamaları, kamera ve akıllı telefon duvar kağıdı paketleri gibi göründüğünü söyledi. O zamandan beri uygulamalar kaldırıldı.
Rus siber güvenlik firması tarafından toplanan telemetri verileri Polonya, Malezya, Endonezya ve Singapur’daki kurbanları ortaya çıkarsa da, operasyon öncelikle Tayland’daki kullanıcıları hedefliyor.
Uygulamalar ayrıca, kırmızı bayrakları yükseltmekten kaçınmak, ancak gerçek amaçlarını kaputun altında gizlemek için vaat edilen işlevselliği sunar. Rahatsız edici uygulamaların listesi aşağıdaki gibidir –
- Beauty Camera Plus (com.beauty.camera.plus.photoeditor)
- Güzellik Fotoğraf Makinesi (com.apps.camera.photos)
- Güzellik Zayıflama Fotoğraf Editörü (com.beauty.slimming.pro)
- Parmak Ucu Grafiti (com.draw.graffiti)
- GIF Kamera Düzenleyici (com.gif.camera.editor)
- HD 4K Duvar Kağıdı (com.hd.h4ks.wallpaper)
- Empresyonizm Pro Kamera (com.impressionism.prozs.app)
- Microclip Video Düzenleyici (com.microclip.vodeoeditor)
- Gece Modu Kamera Pro (com.urox.opixe.nightcamreapro)
- Fotoğraf Makinesi Düzenleyici (com.toolbox.photoeditor)
- Fotoğraf Efekt Düzenleyici (com.picture.pictureframe)
Kaspersky araştırmacısı Dmitry Kalinin, “Uygulama başladığında, uygulama varlıklarından bir yükün şifresini çözen ve çalıştıran kötü amaçlı bir damlalık içeren, oldukça karmaşık bir yerel kitaplık yükler.” söz konusu.
Yük, kendi adına, uzak bir sunucuyla iletişim kurmak ve güvenliği ihlal edilmiş cihazla ilgili bilgileri (örn. Mobil Ülke Kodu ve Mobil Ağ Kodu) iletmek için tasarlanmıştır, ardından sunucu ücretli bir abonelik sayfasıyla yanıt verir.
Kötü amaçlı yazılım daha sonra sayfayı görünmez bir web tarayıcı penceresinde açar ve bildirimlere erişim izinlerini kötüye kullanarak kullanıcının adına abone olmaya ve adımı tamamlamak için gereken onay kodunu almaya çalışır.
Fleckpe’nin aktif olarak geliştirilmekte olduğunun bir işareti olarak, kötü amaçlı yazılımın son sürümleri, güvenlik araçları tarafından tespit edilmekten kaçınmak amacıyla kötü amaçlı işlevlerin çoğunu yerel kitaplığa taşıdı.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Kalinin, “Yük artık yalnızca bildirimleri yakalıyor ve web sayfalarını görüntüleyerek yerel kod ile bir abonelik satın almak için gereken Android bileşenleri arasında bir köprü görevi görüyor” dedi.
“Yerel kitaplığın aksine, kötü niyetli aktörler en son sürüme bazı kod şaşırtmaları eklemiş olsa da, yükün neredeyse hiç kaçırma yeteneği yok.”
Bu, abonelik amaçlı kötü amaçlı yazılımın Google Play Store’da ilk kez bulunması değil. Fleckpe, Joker (aka Ekmek veya Jocker) ve Harlyvirüslü cihazları istenmeyen premium hizmetlere abone olan ve fatura dolandırıcılığı yapan.
Bu tür uygulamalar, casus yazılımlar veya finansal truva atları kadar tehlikeli olmasa da, yine de yetkisiz ücretlere maruz kalabilirler ve operatörleri tarafından çok çeşitli hassas bilgileri toplamak ve daha hain kötü amaçlı yazılımlar için giriş noktaları olarak hizmet etmek üzere yeniden kullanılabilirler.
Bulgular, tehdit aktörlerinin, kampanyalarını ölçeklendirmek için uygulamalarını resmi uygulama pazarlarına gizlice sokmanın yeni yollarını keşfetmeye devam ettiklerinin ve kullanıcıların uygulamaları indirirken ve bunlara izin verirken dikkatli olmalarını gerektirdiğinin bir başka göstergesidir.
Kalinin, “Truva atlarının artan karmaşıklığı, pazar yerleri tarafından uygulanan birçok kötü amaçlı yazılımdan koruma denetimini başarılı bir şekilde atlamalarına ve uzun süre fark edilmeden kalmalarına olanak sağladı.” Dedi.
