Google Play’deki tüm uygulamalar güvenlidir: Doğru mu, yanlış mı?

Resmi Android mağazasında kötü amaçlı yazılımlar yok, değil mi? Bu iddianın temeline iniyoruz.

Android uygulamalarını resmi mağazalar dışındaki yerlerden asla indirmemeniz gerektiğini her fırsatta söylüyoruz. Ancak bu, Google Play’de virüs olmadığı anlamına gelmiyor. Yine de resmi mağazada, üçüncü taraf sitelerde olduğundan çok daha az sayıda virüsle karşılaşırsınız ve düzenli olarak da temizlenirler.

Google, Android uygulamalarının güvenliğini nasıl izliyor

Google Play’e girmeyi başarmak, kötü amaçlı yazılımlar için çok da zor değil. Moderatörler uygulamayı yayınlamadan önce kapsamlı bir gereklilik listesiyle uyumlu olup olmadığını kontrol ediyor. Bir ihlal buldukları takdirde programı mağazadan çıkarıyorlar.

Ancak Google Play’e o kadar fazla sayıda yeni uygulama ve mevcut uygulama güncellemesi geliyor ki, hepsini takip etmek moderatörler için neredeyse imkansız. Dolayısıyla zaman zaman kötü amaçlı yazılımlar gözden kaçabiliyor. En çarpıcı örneklerden bazıları şunlar:

Görmek istemediğiniz reklamlar

Araştırmacılarımız yakın zaman önce belge dijitalleştirme uygulaması CamScanner’da kötü amaçlı bir kod tespit etti. Uygulama yalnızca Google Play’de yer almakla kalmıyor, mağazaya göre 100 milyondan fazla kullanıcının cihazında kurulu bulunuyordu.

Ne yanlış gitti? Anlaşılan, belirli bir noktaya kadar CamScanner söylediği işlevleri yerine getiren normal bir uygulamaydı. Geliştiricileri reklamlar ve ücretli özelliklerden gelir elde ediyordu. Buraya kadar sıra dışı bir durum yoktu. Fakat uygulamaya kötü amaçlı bir özellik eklendikten sonra bu durum değişti.

Necro.n Truva Atı dosya yükleyici şeklinde bir kötü amaçlı yazılım, reklam modüllerinden birinin içine yerleşerek kullanıcının izni olmaksızın cihaza reklam uygulamaları ve üçüncü taraf hizmetlere ücretli abonelik alan programlar gibi diğer kötü amaçlı yazılımları yüklemekle görevli başka bir Truva Atı kurmaya başladı.

Uzmanlarımız bulgularını Google’a bildirdi; yöneticiler de uygulamayı mağazadan kaldırdı. CamScanner’ın geliştiricileri de uygulamayı tekrar mağazaya sokabilmek için hemen kötü amaçlı modülleri uygulamadan çıkardı. Ancak sonuçta virüslü versiyon oldukça uzun bir süre boyunca indirilmeye açık kaldı.

Hırsız oynatıcı

CamScanner, Google Play mağazasında sunulmasının ardından kötü amaçlı özellikler benimseyen uygulamaların tek örneği değil. VKontakte (VK) uygulamasında müzik dinlemek için oluşturulmuş bir oynatıcı görünümündeki Truva Atı’nın yaratıcıları, birkaç yıl boyunca moderatörleri aynı yöntemle atlatmayı başardı.

Google Play’e ilk başta temiz bir sürüm yüklenmişti; ardından birkaç zararsız güncelleme geldi. Fakat birkaç güncellemeden sonra uygulama VK hesaplarının oturum açma bilgilerini ve şifrelerini çalmaya başladı. Dahası, kurbanların çoğunlukla bundan haberi yoktu; hesapları VK gruplarının gizlice reklamını yapmak için kullanıldı.

Oynatıcının güncel sürümünün foyası meydana çıkıp mağazadan silinince yaratıcıları mağazaya hemen yeni sürümlerini yüklediler. 2015’te Google Play’den kötü amaçlı programın en az yedi farklı sürümü kaldırıldı. 2016’da birkaç farklı sürüm daha kaldırıldı. Analistlerimiz 2017’deki iki aylık bir dönem içerisinde Google Play’de bu şekilde 85 uygulama tespit etti. Ayrıca, mağazada aynı geliştiriciler tarafında geliştirilen sahte Telegram sürümleri de bulundu: Bu uygulamalar şifre çalmıyordu, fakat kurbanı siber suçluların çıkarı doğrultusunda gruplara ve sohbetlere ekliyordu.

Google Play’deki kötü amaçlı yazılım ordusu

Ne yazık ki tek bir kötü amaçlı yazılımın 85 farklı kopyası, hikayenin sonu değildi. Uzmanlar 2016’da Google Play’de DressCode Truva Atı ile donatılmış 400’den fazla oyun ve başka uygulama buldu.

Bu kötü amaçlı yazılım, kurbanın cihazına ulaştıktan sonra komuta ve kontrol sunucularıyla iletişim kurup “uykuya dalıyordu”. Ardından siber suçlular virüs bulaşan ve uyumakta olan bu cihazları DDoS saldırıları için, reklam tıklamalarını artırmak için ya da ev ağı veya şirket altyapısı gibi cihazın bağlı olduğu yerel ağlara sızmak için kullanabiliyordu.

Adil olmak gerekirse bunu gözden kaçırdıkları için Google Play moderatörlerini suçlayamayız; DressCode tespit edilmesi çok zor bir yazılımdı. Kodu o kadar küçüktü ki, medya uygulamasının kodu içinde kayboluyordu. Ayrıca, üçüncü taraf sitelerde Google Play’de olduğundan çok daha fazla virüslü uygulama tespit edildi: Araştırmacılar DressCode Truva Atı’nın içeren toplamda yaklaşık 3000 oyun, dış görünüm uygulaması ve akıllı telefon temizleme uygulaması buldu. Yine de 400 çok yüksek bir sayı.

Google Play’den kötü amaçlı yazılım kapmamanın yolları

Gördüğünüz gibi, bir uygulamanın yalnızca resmi Android mağazasına girebilmiş olması, güvenli olduğu anlamına gelmiyor. Kötü amaçlı yazılımlar bazen aradan sızabiliyor. Virüs kapmayı önlemek için Google Play’dekiler de dahil tüm programlara tedbirli yaklaşın ve birkaç dijital hijyen kuralını gözetin.

  • Uygulamaları akıllı telefonunuza hemen indirmeyin. Uygulamanın kullanıcı değerlendirmelerini okuyun: Bu değerlendirmeler, uygulamanın davranışları hakkında değerli bilgiler içerebilir. Geliştirici hakkında bilgi arayın; geliştirdiği önceki uygulamalar mağazadan kaldırılmış ya da bazı şüpheli hikayelerle ilişkilendirilmiş olabilir.
  • Kullanıcı değerlendirmelerini dikkatle okuyun. Bazı şüpheli geliştiricilerin sayfalarını olumlu değerlendirmelerle doldurabileceğini unutmayın; doğal bir dile sahip, gerçek görünen, belirli bir uzunluka (yalnızca “Harika bir uygulama!” yazmayan) değerlendirmelere bakın.
  • Birkaç ayda bir Android akıllı telefonunuzdan veya tabletinizden gereksiz programları silmeyi alışkanlık haline getirin. Cihazınızda ne kadar az uygulama olursa bunları kontrol ve gözetim altında tutmak o kadar kolay olacaktır.
  • Güvenilir bir güvenlik çözümü kullanın; bu sizi Google Play moderatörlerinin gözden kaçırdığı tehditlerden koruyacaktır.

Peki, Google Play’de kötü amaçlı uygulama bulunmadığı doğru mu, yanlış mı?

Yanlış. Google Play’e de zaman zaman kötü amaçlı yazılım sızabiliyor. Resmi Android mağazasından virüs kapma riski, üçüncü taraf sitelerde olduğundan çok daha az olsa da, hala mevcut.

İpuçları