Resmi Google Play mağazasında zararsız gibi görünen birçok uygulamaya gizlenen her türden kötü amaçlı yazılımla karşılaşmak oldukça yaygındır. Ancak maalesef, platform dikkatli bir şekilde denetlense bile, bu tür uygulamalar yayınlanmadan önce bazen moderatörlerin gözünden kaçabiliyor. Kullanıcıların bilgisi olmadan ücretli hizmetlere kaydolan abonelik Truva atları, bu tür kötü amaçlı yazılımların en popüler türlerinden biridir. Daha önceki yazılarımızda bu Truva atlarının en yaygın ailelerini ele almıştık. Bugün sizlere bir başka örnekten bahsedeceğiz. Ele alacağımız abonelik Truva atı Harly, bir diğer abonelik Truva atı olan ve adını popüler çizgi roman kötü karakteri Joker’den alan Jocker’e oldukça benzediği için Harly adını da Joker’in yardımcısı Harley‘den alıyor. Dolayısıyla, bu iki Truva atının kaynağı muhtemelen aynı.
Harly Truva atları’nın içyüzü
2020’den beri Google Play mağazasında Harly Truva atı taşıyan 190’dan fazla uygulama keşfedildi. Bu uygulamaların indirilme sayısı düşük bir tahminle 4,8 milyon olsa da, gerçek rakam daha da fazla olabilir.
Harly ailesindeki Truva atları, tıpkı Jocker Truva Atları gibi yasal uygulamaları taklit eder. Peki bunlar nasıl çalışır? Dolandırıcılar, Google Play’den sıradan bir uygulama indirip bu uygulamaya kötü amaçlı kod ekler ve uygulamayı farklı bir adla Google Play’e yükler. Bu tür bir uygulama, kullanıcılarına açıklama bölümlerinde listelenen özellikleri hala sunabilir. Dolayısıyla, kullanıcılar bu uygulamanın bir tehdit oluşturduğunu fark etmeyebilirler.
Jocker ailesinin çoğu üyesi çok aşamalı indiricilerdir. Yani, yükü dolandırıcıların C&C sunucularından alırlar. Diğer yandan, Harly ailesindeki Truva atları uygulama içindeki tüm yükü içerip uygulamanın şifresini çözmek ve başlatmak için farklı yöntemler kullanırlar.
Harly abonelik Truva atı nasıl çalışır?
Gelin, Google Play mağazasında 10.000’den fazla indirilen bir el feneri uygulaması olan com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7) örneğini inceleyelim.
Uygulamanın başlatılmasıyla tehlikeli bir kütüphane yüklenir:
Kütüphane, uygulama kaynaklarından dosyanın şifresini çözer.
İşin ilginç tarafı, bu tür kötü amaçlı yazılımların geliştiricileri Go ve Rust dillerini nasıl kullanacaklarını öğrenseler de şimdilik yapabilecekleri kötü amaçlı SDK‘nın şifresini çözmek ve yüklemekle sınırlı.
Tıpkı diğer abonelik Truva atları gibi Harly de, uygulamayı indiren kullanıcının cihazı ve özellikle de mobil ağ hakkında bilgi toplar. Ardından kullanıcının telefonu bir mobil ağa geçer ve Harly Truva atı, C&C sunucusundan kayıt olunması gereken aboneliklerin listesini yapılandırmasını ister.
Harly Truva Atı sadece Tayland’a ait operatörlerle çalışır: Yani, önce Tayland’a ait olduklarından emin olmak için ağ operatörlerinin benzersiz tanımlayıcıları olan MNC‘leri (mobil ağ kodları) kontrol eder:
Bununla birlikte, bir test MNC’si olarak China Telecom’un kodu olan 46011’i kullanır. Bu ve benzer ipuçları, bu kötü amaçlı yazılımın geliştiricilerinin konumunun Çin olduğunu gösterir.
Harly Truva atı, abonelik adresini görünmez bir pencerede açar ve JS komut dosyalarını yerleştirerek kullanıcının telefon numarasını girer. Ardından, gerekli tuşlara basıp kısa mesajdan gelen onay kodunu girer. Sonuç: Kullanıcı, farkında bile olmadan ücretli bir abonelik satın alır.
Harly Truva atının bir diğer dikkat çekici özelliği, işlem süreci yalnızca bir kısa mesaj koduyla korunduğunda değil, Truva atının belirli bir telefon numarasını arayarak aboneliği onayladığı bir telefon görüşmesi ile korunduğunda da abone olabilmesidir.
Ürünlerimiz, burada Trojan.AndroidOS.Harly ve Trojan.AndroidOS.Piom olarak tanımladığımız bu zararlı uygulamaları tespit etme özelliğine sahiptir.
Abonelik Truva atlarından korunmanın yolları
Resmi uygulama mağazaları, kötü amaçlı yazılımların yayılmasıyla durmaksızın mücadele etse de, gördüğümüz gibi, daima başarılı olamıyorlar. Bir uygulamayı cihazınıza yüklemeden önce, kullanıcı yorumlarını okumalı ve Google Play’deki uygulama puanını kontrol etmelisiniz. Ancak elbette, bu yorumların ve puanların şişirilmiş olma ihtimalini de akılda tutmanıza fayda var. Bu tür kötü amaçlı yazılımların kurbanı olmayıp kendini korumak için güvenilir bir güvenlik çözümü kullanmanızı öneriyoruz.