Google Play’de 9 Adet Uygulamanın Kötü Amaçlı Yazılım Saçtığı Tespit Edildi 

Güvenlik uzmanları Google Play’deki en az dokuz uygulamada yeni bir kötü amaçlı yazılım yayan araç tespit etti. Akıllı telefonlara indirildikten sonra ikinci bir kötü amaçlı yazılım yayan taşıyıcı, telefonlardan kullanıcılara ait finansal bilgileri çalabildiği gibi cihazın kontrolünü de ele geçirebiliyor.

Clast82 adı verilen kötü amaçlı yazılım taşıyıcısının değerlendirme sürecini sorunsuz bir şekilde tamamlayarak Google Play güvenlik bariyerlerini aşabildiği belirtildi. Ancak, zararsız görülen bu kötü amaçlı taşıyıcı, cihazlara AlienBot Banker ile MRAT kötü amaçlı yazılımlarını yüklüyor.

Kötü amaçlı yazılımların yayılması için kullanılan uygulamaların Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR/Barcode Scanner MAX, Music Player, Tooltipnatorlibrary ve QRecorder olduğu belirtildi. Google’a yapılan güvenlik bildiriminin ardından, söz konusu uygulamaların 9 Şubat tarihinde Play Store’dan indirildiği belirtildi.

Kötü amaçlı yazılım geliştiricilerin Google güvenlik bariyerlerini aşmak için çeşitli yöntemler kullandığı biliniyor. Bu yöntemler analiz motorlarının dizinlerini fark etmemesinin sağlayacak şifrelemeler, yasal uygulamaların sahte versiyonları olabiliyor. Ayrıca, uygulamaların altına yazılan sahte yorumlar kullanıcıları kötü amaçlı bir yazılımı indirmeye teşvik etmek için kullanılıyor. Nihayetinde, Google’ın yoğun çabalarına rağmen Play Store güvenlik bariyerleri aşılmaya devam ediyor.

Versioning nedir?

Siber korsanlar tarafından kullanılan bir diğer popüler yöntem “versioning” olarak biliniyor. Bu yöntemde Play Store’a temiz bir uygulama yükleniyor. Belli bir müddet ve artan kullanıcıların ardından yapılan güncelleme ile kötü amaçlı kodlar uygulamaya ekleniyor. Kötü amaçlı fonksiyonların zaman odaklı geciktirme özelliği ile Google’ın sier tehdidi tespit etme olasılığı azaltılıyor.

Clast82, Google’ın uygulama oluşturma platformu Firebase’i kumanda ve kontrol (C2) iletişimi için kullanıyor ve kötü amaçlı yüklerin indirilmesi için Github’dan faydalanıyor. Böylece meşru ve açık kaynaklı Android uygulamalarını kötü amaçlı yazılım taşımak için kullanabiliyor.

Her uygulama için siber korsanlar Google Play mağazası için bir geliştirici hesabı ve GitHub hesabında bir bellek oluşturuyor. Böylece, her bir kötü amaçlı uygulama tarafından enfekte edilen cihazlara farklı taşıma yükleri gönderilebiliyor.

Örneğin, kötü amaçlı olarak kullanılan Cake VPN, Syed Ashraf Ullah adlı geliştiricinin hazırladığı uygulamanın açık kaynaklı ve aynı adı taşıyan versiyonu olarak beliriyor. Ancak uygulama çalıştırıldığında Firebase gerçek zamanlı veri tabanından faydalanarak GitHub üzerinden taşıma yükünü alıyor ve ardından cihaza yüklüyor.

Eğer cihazlarda bilinmeyen kaynaklardan uygulama indirme opsiyonu kapatılmışsa, Clast82 her beş saniyede bir sahte “Google Play Hizmetleri” bildirisi ile izin verilmesi için teşvikte bulunuyor. Nihayetinde, bir Android Maas (kötü amaçlı yazılım hizmeti) olarak kullanılan AlienBot’u yüklüyor. AlienBot, hesap bilgilerini ve hatta finansal uygulamalardan iki adımlı doğrulama kodlarını çalabiliyor.