Antivirüs yazılımı olarak gizlenen kötü amaçlı yazılımlar

Sahte bir Kaspersky Internet Security for Android uygulaması, resmi uygulama mağazaları dışındaki yerlerden uygulama yüklemenin tehlikelerini gözler önüne seriyor.

Android’le ilgili yaptığımız neredeyse her paylaşımda, uygulamaları yalnızca resmi kaynaklardan yüklemenizi öneriyoruz ve bunu yapmaya da devam edeceğiz. Son yaşanan bir olay bunun nedenini gösteriyor. Yakın zamanda dolandırıcılar popüler ortam yürütücüler, spor uygulaması, e-kitap okuyucusu ve Kaspersky Internet Security for Android uygulaması (ki bu bizi canevimizden vurdu) olarak gizlenen bir bankacılık Truva Atı yaydılar.

Farklı kaynaklardan uygulama yüklemek neden tehlikeli?

Üçüncü taraf uygulama mağazaları aslında kötü değildir, ama mağazaların güvenilir olup olmadığını kesin olarak bilemezsiniz. Google Play veya Huawei AppGallery gibi resmi uygulama mağazalarında mağaza sahibi şirketlerin çalışanları, geliştiriciler tarafından mağazaya konan her uygulamayı takip eder ve kötü amaçlı olan her şeyi ayıklar. Bunlar, kendi itibarlarını ve müşterilerinin güvenliğini koruyan büyük şirketler. Kullanıcıları kötü amaçlı yazılımlardan uzak tutmak için hem kaynakları hem de gerekçeleri var.

Ancak bazen kötü amaçlı yazılımlar Google Play’e bile sızabiliyor. Yine de bu yazılımlara resmi mağazalarda rastlama olasılığı, bunlara mesaj panolarında, torrent uygulamalarında veya başka sitelerde rastlama olasılığından çok daha düşük. Küçük ve başarılı, bağımsız mağazalar çok fazla kontrol yapmaz çünkü genelde yeterli kaynakları yoktur. Bunun nedenle size sundukları uygulamalarda her türlü şeyi gizlenmiş olabilir, hatta bir Truva Atı bile…

Ayrıca belirtmeliyiz ki, Android bir cihaza kötü amaçlı yazılımı indirmek, genellikle cihaza virüs bulaşması için yeterli değildir. Kötü amaçlı yazılım kullanıcı erişimi elde etmek için bir çeşit sıfır-gün güvenlik açıklarından yararlanan yazılıma bağlı olmadığı sürece, Android üzerine tehlikeli bir uygulama yüklemek çaba ister. İşletim sistemi her aşamada kullanıcıdan çeşitli doğrulamalar ister: gerçekten bu uygulamayı yüklemek istiyor musunuz, gereken izinleri vermeyi kabul ediyor musunuz gibi. Siber suçlular, insanları evet demeye ikna etmek için sosyal mühendislikten yararlanır ve çoğu zaman başarılı olurlar.

Farklı bir mağazadan indirilen kötü amaçlı güvenlik programları

İşte size bir örnek. Bir süre önce bir grup araştırmacı, çeşitli sahte sitelerde yayılmakta olan Android uygulamalarını bildirdi. Bu uygulamaların arasında Kaspersky Internet Security for Android uygulamasının sahte bir sürümü de vardı.

Dolandırıcılar, sahte uygulamalarını “Kaspersky Free Antivirus” adıyla yayıyorlardı (bizim de bu isimde bir ürünümüz vardı ama Windows için kullanılıyordu). Google Play’deki şu andaki uygulamamız: Kaspersky Mobile Antivirus: Applock & Web Security.

İşin garip yanı, sahte antivirüs uygulamasını indiren kullanıcıların cihazına TeaBot adında bir bankacılık Truva Atı bulaşıyordu. Bizim güvenlik ürünlerimiz bunu HEUR: Trojan-Banker.AndroidOS.Teaban veya HEUR: Trojan-Banker.AndroidOS.Regon adıyla tespit ediyor.

Peki konu antivirüs uygulamaları olunca bu neden daha büyük bir sorun oluyor? Çünkü kullanıcı, bu şekilde gizlenen bir bankacılık Truva Atı’nı indirmekle ve yüklemekle kalmıyor, üstüne uygulamanın istediği bütün izinleri veriyor. Sonuçta sahici bir antivirüs uygulaması, verebileceğiniz en güçlü izinlerden biri olan Erişilebilirlik hizmetlerine erişim de dahil olmak üzere birçok izne ihtiyaç duyar.

Daha da kötüsü, antivirüs korumanız yoksa, cihazınız kötü amaçlı yazılımları tespit edemiyor.

Yüklemeyi tamamlamak ve istenen bütün izinleri vermek, TeaBot Truva Atı’nın Android cihazda istediği her şeyi yapabilmesini sağlıyor. Tuş kaydetme, Google Authenticator kodlarını çalma ve Android cihazın tüm kontrollerini ele geçirmeye kadar her türlü şekilde Erişilebilirliği kullanma, gibi birçok özelliği var.

Uygulamanın yasal olduğundan emin olmanın yolları

TeaBot sadece antivirüs yazılımı olarak gizlenmiyor. Bu kötü amaçlı yazılım bazı çok bilinen devlet, finans, spor, ve kitap uygulamaları gibi birçok uygulamanın sahte sürümleri olarak da gizlenebilir. Güvende kalmak için, akıllı telefonunuzun bilinmeyen kaynaklardan uygulama yükleme özelliğini tamamen kapatın. Android telefonlarda bunu yapabilirsiniz. Herhangi bir uygulamaya ihtiyacınız olduğunda resmi mağazalardan yararlanın.

Uygulamalara verdiğiniz izinler konusunda çok dikkatli olun. Örneğin bir spor uygulaması Erişilebilirlik özelliklerine erişim izni isterse, kabul etmeden önce iki kez (hatta daha fazla) düşünün.

Son olarak, <em>gerçek bir antivirüs koruması kullandığınızdan emin olun. Kaspersky Internet Security for Android ürününün tamamen ücretsiz sürümü elinizin altında olduğuna göre, bunu resmi olmayan kaynaklardan indirmeniz için hiçbir sebep yok. Antivirüs uygulamamızı hem Google Play hem de Huawei AppGallery mağazalarında bulabilirsiniz.

İpuçları