Google Play kötü amaçlı yazılımların 2023’te 600 milyondan fazla indirileceğini tahmin ediyor

En resmi uygulama mağazası olan Google Play’e sızan bazı Android zararlı yazılım vakalarına bir göz atalım.

Kullanıcılar Google Play’den uygulama yüklemenin güvenli olduğunu düşünme eğilimindedir. Sonuçta bu Android’e yönelik tüm resmi mağazalar arasında en resmi olanıdır ve buradaki tüm uygulamalar Google moderatörleri tarafından kapsamlı bir şekilde incelenmektedir, değil mi?

Bununla birlikte, Google Play’in üç milyondan fazla benzersiz uygulamaya ev sahipliği yaptığını ve bunların çoğunun düzenli olarak güncellendiğini ve hepsini kapsamlı bir şekilde – yani gerçekten kapsamlı bir şekilde – incelemenin dünyanın en büyük şirketlerinden birinin bile kaynaklarının ötesinde olduğunu unutmayın.

Bunun farkında olan kötü niyetli uygulama üreticileri, uygulamalarını Google Play’e gizlice sokmak için bir dizi teknik geliştirmiştir. Bu yazıda, resmi Android mağazasında bulunan ve toplam indirilme sayısı 600 milyonu aşan kötü amaçlı uygulamalarla ilgili 2023 yılının en dikkat çekici vakalarına göz atıyoruz. Başlayalım!…

50.000 indirme: virüslü iRecorder uygulaması kullanıcıları gizlice dinliyor

Oldukça küçük, ancak oldukça ilginç ve oldukça açıklayıcı bir örnek olan iRecorder ile başlayalım. Android akıllı telefonlar için bu dikkat çekici olmayan ekran kayıt uygulaması Eylül 2021’de Google Play’e yüklendi.

Ancak daha sonra, Ağustos 2022’de, geliştiricileri bu uygulamaya bazı kötü amaçlı işlevler ekledi: uzaktan erişim Truva Atı AhMyth’ten gelen kod, uygulamayı yükleyen tüm kullanıcıların akıllı telefonlarının her 15 dakikada bir mikrofondan ses kaydetmesine ve bunu uygulama yaratıcılarının sunucusuna göndermesine neden oldu. Araştırmacılar Mayıs 2023’te kötü amaçlı yazılımı keşfettiklerinde, iRecorder uygulaması 50.000’den fazla kez indirilmişti.

Bu örnek, kötü amaçlı uygulamaların Google Play’e sızma yollarından birini göstermektedir. İlk olarak, siber suçlular mağazaya tüm denetim kontrollerinden geçeceği garanti olan zararsız bir uygulama yükler. Ardından, uygulama bir kullanıcı kitlesi ve bir tür itibar oluşturduğunda (bu aylar hatta yıllar sürebilir), Google Play’e yüklenen bir sonraki güncellemesinde kötü amaçlı işlevlerle zenginleştirilir.

620.000 indirme: Fleckpe abonelik Truva Atı

Mayıs 2023’te uzmanlarımız ayrıca Google Play’de Fleckpe abonelik Truva Atı ile enfekte olmuş birkaç uygulama buldu. Uygulama o zamana kadar 620.000 yüklemeye çoktan ulaşmıştı. İlginç bir şekilde, bu uygulamalar farklı geliştiriciler tarafından yüklenmişti. Bir başka yaygın taktik de şudur: siber suçlular mağazada çok sayıda geliştirici hesabı oluştururlar, böylece bazıları moderatörler tarafından engellense bile benzer bir uygulamayı başka bir hesaptan yükleyebilirler.

Google Play'deki uygulamalara Fleckpe abonelik Truva Atı bulaştı

Google Play’deki uygulamalara Fleckpe abonelik Truva Atı bulaştı

Virüslü uygulama çalıştırıldığında, ana kötü amaçlı yük kurbanın akıllı telefonuna indirildi ve ardından Truva atı komuta ve kontrol sunucusuna bağlanarak ülke ve hücresel operatör bilgilerini aktardı. Bu bilgilere dayanarak, sunucu nasıl devam edileceğine dair talimatlar verdi. Fleckpe daha sonra kullanıcıya görünmeyen bir tarayıcı penceresinde ücretli abonelikler içeren web sayfaları açtı ve gelen bildirimlerden gelen onay kodlarını ele geçirerek kullanıcıyı, ödemesi hücresel operatör hesabı üzerinden gerçekleştirilen gereksiz hizmetlere abone yaptı.

1,5 milyon indirme: Çin casus yazılımı

Temmuz 2023’te Google Play’in biri bir milyon, diğeri yarım milyon indirme sayısına sahip iki dosya yöneticisine ev sahipliği yaptığı tespit edildi. Geliştiricilerin uygulamaların herhangi bir veri toplamadığına dair güvence vermiş olmalarına rağmen, araştırmacılar her ikisinin de Çin’deki sunuculara kişiler, gerçek zamanlı coğrafi konum, akıllı telefon modeli ve hücresel ağ hakkında veriler, fotoğraflar, ses ve video dosyaları ve daha fazlası dahil olmak üzere çok sayıda kullanıcı bilgisi ilettiğini tespit etti.

Google Play'deki dosya yöneticilerine casus yazılım bulaştı

Google Play’de içinde Çin casus yazılımı bulunan dosya yöneticileri. Kaynak

Kullanıcı tarafından kaldırılmamak için, virüslü uygulamalar masaüstü simgelerini gizledi. Bu, mobil kötü amaçlı yazılım yaratıcıları tarafından kullanılan bir başka yaygın taktiktir.

2,5 milyon indirme: arka plan reklam yazılımı

Ağustos 2023’te Google Play’de tespit edilen yeni bir kötü amaçlı yazılım vakasında araştırmacılar, kullanıcının akıllı telefon ekranı kapalıyken gizlice reklam yükleyen TV/DMB Oynatıcı, Müzik İndirici, Haberler ve Takvim de dahil olmak üzere 43 kadar uygulama buldu.

Google Play'deki uygulamalar gizlice reklam gösteriyor

Gizli reklam yazılımı içeren uygulamalardan bazıları. Kaynak

Uygulamalar, işlerini arka planda yürütebilmek için kullanıcıdan kendilerini güç tasarrufu istisnaları listesine eklemesini istiyordu. Doğal olarak, etkilenen kullanıcılar pil ömründe azalma yaşadı. Bu uygulamalar toplamda 2,5 milyon kez indirilmişti ve hedef kitleleri ağırlıklı olarak Korelilerdi.

20 milyon indirme: ödül vaat eden dolandırıcı uygulamalar

2023’ün başlarında yayınlanan bir araştırma, Google Play’de aralarında 20 milyondan fazla indirilen birkaç şüpheli uygulamayı ortaya çıkardı. Kendilerini öncelikle sağlık takip uygulaması olarak konumlandıran bu uygulamalar, kullanıcılara yürüyüş ve diğer aktivitelerin yanı sıra reklamları görüntülemeleri veya diğer uygulamaları yüklemeleri karşılığında nakit ödüller vaat ediyordu.

Google Play'de yürüyüş ve reklam görüntüleme karşılığında ödeme vaat eden dolandırıcılık uygulamaları

Google Play’deki uygulamalar, yürümek ve reklamları görüntülemek için ödüller vaat ediyor. Kaynak

Daha doğrusu, kullanıcı bu eylemler için puan kazanıyor ve bu puanlar sözde gerçek paraya dönüştürülebiliyordu. Tek sorun, bir ödül almak için o kadar çok puan toplamanız gerekiyordu ki, bu fiilen imkansızdı.

35 milyon indirme: İçinde reklam yazılımı olan Minecraft klonları

Google Play bu yıl da kötü niyetli oyunlara ev sahipliği yaptı ve bunun başlıca sorumlusu (ne yazık ki ilk kez değil) hala dünyanın en popüler oyunlarından biri olan Minecraft oldu. Nisan 2023’te, resmi Android mağazasında toplam 35 milyon indirme ile 38 Minecraft klonu tespit edildi. Bu uygulamaların içine HiddenAds adı verilen reklam yazılımları gizlenmişti.

Google Play'de reklam yazılımı bulaşmış Minecraft klonu

Block Box Master Diamond – HiddenAds tarafından enfekte edilen Minecraft klonlarının en popüler olanı. Kaynak

Virüs bulaşmış uygulamalar başlatıldığında, kullanıcının bilgisi olmadan gizli reklamlar “gösteriyordu”. Bu kendi başına ciddi bir tehdit oluşturmuyordu, ancak bu tür davranışlar cihaz performansını ve pil ömrünü etkileyebiliyordu.

Ve bu virüslü uygulamaları her zaman daha zararsız olduğu söylenemeyecek bir para kazanma planı takip edebilir. Bu, Android kötü amaçlı yazılım uygulaması yaratıcılarının bir başka standart taktiğidir: herhangi bir anda neyin kazançlı olduğuna bağlı olarak farklı kötü amaçlı etkinlik türleri arasında kolayca geçiş yaparlar.

100 milyon indirme: veri toplama ve tıklama sahtekarlığı

Ayrıca Nisan 2023’te, Google Play’de araştırmacıların Goldoson adını verdiği reklam yazılımıyla enfekte olmuş 60 uygulama daha bulundu. Bu uygulamalar toplu olarak Google Play’de 100 milyondan fazla, popüler Kore ONE Store’da ise sekiz milyondan fazla indirilmiştir.

Bu kötü amaçlı yazılım ayrıca arka planda uygulama içinde web sayfaları açarak gizli reklamlar “gösterdi”. Buna ek olarak, kötü amaçlı uygulamalar, yüklü uygulamalar, coğrafi konum, Wi-Fi ve Bluetooth aracılığıyla akıllı telefona bağlı cihazların adresleri ve daha fazlası hakkında bilgiler de dahil olmak üzere kullanıcı verilerini topladı.

Goldoson, kötü amaçlı işlevsellik içerdiğinin farkında olmayan birçok yasal geliştirici tarafından kullanılan virüslü bir kütüphane ile birlikte tüm bu uygulamalara girmiş gibi görünüyor. Ve bu alışılmadık bir durum değil: genellikle kötü amaçlı yazılım yaratıcıları uygulamaları kendileri geliştirip Google Play’de yayınlamıyor, bunun yerine diğer geliştiricilerin uygulamalarıyla birlikte mağazaya giren bu tür virüslü kütüphaneler oluşturuyorlar.

451 milyon indirme: mini oyun reklamları ve veri toplama

Kapanışı yılın en büyük vakasıyla yapalım: Mayıs 2023’te bir araştırma ekibi Google Play’de toplam indirilme sayısı 421 milyon olan 101 adet uygun olmayan uygulama buldu. Her birinin içinde bir SpinOk kod kütüphanesi gizliydi.

Bundan kısa bir süre sonra, başka bir araştırmacı ekibi Google Play’de aynı SpinOk kütüphanesini içeren 92 uygulama daha keşfetti, bu uygulamaların indirilme sayısı biraz daha mütevazıydı: 30 milyon. SpinOK kodu içeren ve Google Play’den toplamda 451 milyon kez indirilen yaklaşık 200 uygulama bulundu.Bu, tehlikeli kodun üçüncü taraf bir kütüphaneden uygulamalara aktarıldığı bir başka durumdur.

SpinOk tarafından reklamı yapılan mini oyunlar

Kullanıcılara “ödüller” vaat ederek SpinOk kodu içeren uygulamaları gösteren mini oyunlar. Kaynak

Görünürde, bu uygulamaların görevi, nakit ödüller vaat eden izinsiz işlemler yapan mini oyunlar görüntülemekti. Ancak hepsi bu kadar değildi: SpinOK kütüphanesi, kullanıcı verilerini ve dosyalarını arka planda toplayıp geliştiricilerinin komut ve kontrol sunucusuna gönderme yeteneğine sahipti.

Google Play’de kötü amaçlı yazılımlara karşı nasıl korunulur?

Elbette, 2023’te Google Play’e giren tüm kötü amaçlı uygulama vakalarını ele almadık, yalnızca en dikkat çekici olanlara değindik. Bu yazıdan çıkarılacak ana sonuç şudur: Google Play’deki kötü amaçlı yazılımlar hepimizin düşünmek istediğinden çok daha yaygındır; virüslü uygulamaların toplam indirme sayısı yarım milyarı aşmaktadır!

Bununla birlikte, resmi mağazalar açık ara en güvenli kaynaklar olmaya devam etmektedir. Uygulamaları başka bir yerden indirmek çok daha tehlikelidir, bu nedenle bunu kesinlikle önermiyoruz. Ancak resmi mağazalarda da dikkatli olmalısınız:

  • Yeni bir uygulamayı her indirdiğinizde, orijinal olduğundan emin olmak için mağazadaki sayfasını dikkatlice kontrol edin. Geliştiricinin adına özellikle dikkat edin. Siber suçluların popüler uygulamaları klonlayıp benzer isimler, simgeler ve açıklamalarla Google Play’e yerleştirerek kullanıcıları cezbetmesi alışılmadık bir durum değildir.
  • Uygulamanın genel puanına aldanmayın, çünkü bu puan kolaylıkla şişirilebilir. Övgü dolu yorumları taklit etmek de sorun değildir. Bunun yerine, düşük puanlı olumsuz yorumlara odaklanın, genellikle uygulamayla ilgili tüm sorunların bir açıklamasını bulabileceğiniz yer bu yorumlardır.
  • Tüm Android cihazlarınıza, bir Truva atının akıllı telefonunuza veya tabletinize gizlice girmeye çalışması durumunda önceden uyarı veren güvenilir bir koruma yüklediğinizden emin olun.
  • Kaspersky for Android uygulamamızın ücretsiz sürümünde, zaman zaman manuel olarak cihaz taraması yapmayı unutmayın ve herhangi bir yeni uygulamayı yükledikten sonra ve ilk kez başlatmadan önce bir antivirüs taraması yaptığınızdan emin olun.
  • Koruma paketimizin ücretli sürümünde tarama otomatik olarak gerçekleştirilir ve sizi virüslü uygulamalardan korur (bu özellik Kaspersky Standard, Kaspersky Plus veya Kaspersky Premium aboneliği ile sunulur).
İpuçları