Milyonlarca Kullanıcısı Bulunan Barcode Scanner Spam Reklam Saçmaya Başladı [Silinmeli!]

Şubat ayı başında, güvenlik araştırmacıları güvenilir ve kullanışlı bir barkod ile QR kod tarayıcısı uygulamasının bir gecede spam saçmaya başladığını tespit etti. Tek bir güncelleme ile milyonlarca cihaza spam reklamlar saçmaya başlayan bir zamanların güvenilir barkod tarama uygulaması, yaşanan sorundan üçüncü bir partiyi sorumlu tutuyor.

Google Play’de yıllardır bulunan ve sorunsuz çalışan uygulama, son aylarda sayısız şikayet almaya başladı: Kullanıcıların mobil cihazları istenmeyen reklamlar ile dolup taşıyordu.

Barcode Scanner adlı uygulamanın yaşadığı sorunun Android/Trojan.HiddenAds.AdQR‘dan kaynaklandığı anlaşıldı. Analizler kötü amaçlı güncellemeleri yaşanan sorunun kaynağı olarak tespit ederken, uygulamanın koduna kontrolsüz reklam yayan dizinler işlendiği anlaşıldı. Uygulamanın analitik kodunun da değiştirildiği ve güncellemelere de fazlasıyla müdahale edildiği ortaya çıkarıldı.

Uygulamanın geliştiricisi Lavabird, Google Play’e yapılan kayıtta adı geçtiği için sorumlu olarak belirdi. Spam sorununun bildirilmesinin ardından uygulama kaldırılırken, Lavabird herhangi bir yorum yapmaktan kaçındı.

12 Şubat’ta güvenlik araştırmacıları tarafından duyurulan açıklamada, Lavabird’ün “the space team” adı verilen bir hesabı sorumlu gösterdiği belirtildi. Lavabird, uygulamanın sahipliğinin el değiştireceği bir satın alım anlaşmasının ardından üçüncü partinin değişiklikler yaptığını belirtti.

Lavabird, Barcode Scanner uygulamasını 23 Kasım’da satın alırken, space team ile yapılan anlaşmanın 25 Kasım’da imzalandığı ifade edildi. Lavabird, satın alım sürecinde alıcı ile satıcı arasında aracı olarak yer aldıklarını ve yaşanan durumdan son derece rahatsız olduklarını dile getirdi. “Space team” ise sessiz kalmaya devam ediyor.

Lavabird, mobil uygulama geliştirdiklerini, sattıklarını ve satın aldıklarını belirterek, Barcode Scanner satın alımında “space team” tarafından Google Play’e uygulamanın anahtarı ve şifresini doğrulamak için erişim sağlandığı bilgisini verdi.

Lavabird, uygulamayı satın alan space team tarafından spam içeriğinin hazırlandığını öne sürdü. Lavabird, satın alım anlaşmasında uygulamanın imza anahtarının transfer edilmesinin meşru sürecin bir parçası olduğunu ve space team’in bir güncelleme ile Google Play özel anahtarlarını doğrulamak istediğini belirtti.

Güncellemenin yapılmasının ardından, 7 Aralık tarihinde uygulama Google Play hesabında alıcıya transfer edildi. Ancak bu esnada sahiplik halen Lavabird’e aitti…

Kötü amaçlı güncellemeler…

İlk kötü amaçlı güncelleme 27 Kasım’da yaşandı ve ardından gelen güncellemeler uygulamanın kodunu değiştirdi. Uygulamanın kaldırıldığı 5 Ocak tarihine kadar kötü amaçlı güncellemeler devam etti.

Lavabird, “ağızdan ağıza iletişim” aracılığı ile bulunan alıcının kim olduğunu doğrulamadı. Öte yandan, şirket “çıkarılan dersin ömür boyu kendileri için geçerli olacağını” belirtti.

Güvenlik uzmanları, kötü amaçlı geliştiricilerin sosyal mühendislik kullanarak popüler bir uygulamayı sahiplendiğini ve ifşa ettiklerini belirtti. Spamlerden sorumlu olan aktörler, sadece popüler bir uygulama ile milyonlarca cihazı enfekte etmeyi başarmakla kalmadı, satın alımın tamamlanmasından önce güncelleme yaparak spam içeriğinin Google Play güvenlik bariyerlerini aşıp aşamadığını da kontrol etmiş oldu.

Yaşananlar, Google Play üzerinde meşru uygulamalar aracılığı ile düzenlenebilecek saldırılara bir örnek teşkil ederken geliştiriciler, satım-alım yapanlar ve Google Play’in nasıl ifşa edilebileceğini de gösterdi.

Lavabird, “yaşanan olaydan dolayı üzgün olduklarını ve prestijlerinin ağır darbe aldığını, kullanıcıların uygulamayı en kısa zamanda cihazlarından kaldırmalarını istediklerini” belirtti.